Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
OLT 4840 E
OLT 4840 E
OLT EPON com 8 portas Gigabit Ethernet,
4 portas SFP/SFP+ e 4 slots para módulos SFP EPON
Parabéns, você acaba de adquirir um produto com a qualidade e segurança Intelbras.
Este manual destina-se a administradores de rede e fornece informações sobre a
Interface de Linha de Comandos (CLI - Command Line Interface).
Índice
1. Conexões no OLT 10
1.1. Visão geral do login no OLT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.2. Login no OLT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.3. Interface de linha de comando. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2. Gerenciamento do equipamento 21
2.1. Visão geral das funções de gerenciamento de funções . . . . . . . . . . . . . . . . . 21
2.2. Autenticação de senha de segundo nível . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.3. Autenticação remota. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.4. Limitação de IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.5. Configuração de timeout. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
2.6. Atualizar firmware em caso de crash. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
2.7. Atualização de firmware. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
2.8. Restauração do usuário admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3. Configuração de porta 36
3.1. Configurações básicas de porta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.2. Configuração de agregação de portas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
3.3. Configuração de isolamento de portas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
3.4. Loopback. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
3.5. VCT - teste de cabo virtual. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
3.6. DDM - monitoramento de diagnóstico digital. . . . . . . . . . . . . . . . . . . . . . . . 49
3.7. Estatísticas de porta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
3.8. Controle de fluxo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
3.9. Detecção dos parâmetros ópticos do OLT. . . . . . . . . . . . . . . . . . . . . . . . . . . 55
4. Configuração de VLAN 57
4.1. Visão geral de VLAN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
4.2. Configurações de QinQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
4.3. Função ajustável de VLAN tag TPID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
4.4. Configuração de GVRP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
4.5. Tradução de VLAN N:1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
4.6. Configuração de VLAN baseada em MAC Address . . . . . . . . . . . . . . . . . . . . 87
4.7. VLAN Baseada em protocolo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
4.8. VLAN baseado em sub-rede IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
4.9. Configuração de VLAN-Trunking. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
5. Configuração de tabela de endereço MAC 97
5.1. Configuração da tabela de endereços MAC . . . . . . . . . . . . . . . . . . . . . . . . . 97
5.2. Função de switch local. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
5.3. Função SLF-control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .102
5.4. Visão geral de DLF-control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
6. Configuração de multicast 106
6.1. Configuração de IGMP-Snooping. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
6.2. Configuração de MLD-Snooping. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
6.3. GMRP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
6.4. Configuração da tabela multicast estática. . . . . . . . . . . . . . . . . . . . . . . . . . 133
7. Configuração de endereço de IP 135
7.1. Endereço de IP da interface do OLT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135
8. Configuração de endereço IPv6 139
8.1. Informações básicas de IPv6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
8.2. Padrão do endereço IPv6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
8.3. Protocolo de descoberta de vizinhos IPv6. . . . . . . . . . . . . . . . . . . . . . . . . . 139
8.4. Configuração de IPv6. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
8.5. Exemplo de configuração de endereço unicast IPv6. . . . . . . . . . . . . . . . . . .148
9. Configuração de ONU 152
9.1. Descoberta e autenticação de ONU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
9.2. ONU Ranging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160
9.3. ONU-VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
9.4. Configuração de portas da ONU. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
9.5. Informações básicas da ONU. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
9.6. Descrição de ONU. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
9.7. Isolamento de portas da ONU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
9.8. ONU-Multicast. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
9.9. Gerenciamento de atualização de ONU . . . . . . . . . . . . . . . . . . . . . . . . . . . 196
9.10. Reinicialização da ONU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
9.11. Descrição do sistema da ONU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
9.12. Detecção de loop remoto de ONU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
9.13. PSG. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
9.14. FEC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
9.15. Detecção dos parâmetros ópticos da ONU . . . . . . . . . . . . . . . . . . . . . . . . 213
9.16. DBA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .218
9.17. ONU P2P. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
9.18. Limite de MAC na ONU. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
10. Configuração ARP 224
10.1. Visão geral do ARP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
10.2. Configuração ARP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
11. Espelhamento 234
11.1. Espelhamento de portas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
11.2. Espelhamento de fluxo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
12. Gerenciamento de login SNMP 236
12.1. Visão geral de SNMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
12.2. Configuração de parâmetros básicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
12.3. Configuração do nome de comunidade. . . . . . . . . . . . . . . . . . . . . . . . . . .237
12.4. Configuração de grupo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238
12.5. Configuração de usuário . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
12.6. Configuração de views. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
12.7. Configuração de notificação SNMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
12.8. Configuração de engine ID. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
12.9. Exemplo de configuração de SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
13. Configuração de ACL 242
13.1. Ordem de correspondência da ACL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
13.2. ACL padrão (standard). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
13.3. ACL estendida (extended). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
13.4. ACL Layer 2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
13.5. Intervalo de tempo. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
13.6. Ativar a ACL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
13.7. Visualização e depuração da ACL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
14. Configuração de QACL 256
14.1. Conceitos relacionados à QACL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
14.2. Configuração de limite de velocidade de tráfego. . . . . . . . . . . . . . . . . . . . 260
14.3. Configuração do trTCM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261
14.4. Configuração de redirecionamento de mensagem. . . . . . . . . . . . . . . . . . . 263
14.5. Configuração de cópia de mensagem para a CPU. . . . . . . . . . . . . . . . . . . 264
14.6. Configuração de marcador de precedência. . . . . . . . . . . . . . . . . . . . . . . . 264
14.7. Configuração das estatísticas de tráfego. . . . . . . . . . . . . . . . . . . . . . . . . . 265
14.8. Configuração para sobrescrever VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
14.9. Configuração de inserção de VLAN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265
14.10. Visualização e manutenção de QACL . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
14.11. Exemplo de configuração de QACL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
15. Controle de Cos 269
15.1. Visão geral do controle do CoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269
15.2. Configuração de controle de CoS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270
15.3. Exemplo de configuração de COS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272
16. Controle de encaminhamento 274
16.1. Controle de largura de banda. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
16.2. Função de storm-control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
17. Proteção contra ataques 278
17.1. Função Antiataque DOS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
17.2. Função de CPU-car . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
17.3. Função de shutdown-control. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
17.4. ARP-Spoofing e Flood Attack. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
18. Single Spanning Tree 295
18.1. Introdução ao STP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
18.2. Introdução ao RSTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
18.3. Configuração de spanning tree. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
19. Configuração de Multiple Spanning Tree 317
19.1. Visão geral de MSTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
19.2. Configuração do MSTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325
20. GSTP 353
20.1. Introdução ao GSTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353
20.2. Configuração do GSTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
21. Configuração de PVST 357
21.1. Introdução ao PVST. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
21.2. Configuração do PVST. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358
21.3. Exemplo de configuração do PVST. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
22. Configuração de ERRP 365
22.1. Introdução a função de ERRP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
22.2. Configuração do ERRP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
22.3. Exemplo de configuração de ERRP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
23. Configuração do ERPS 380
23.1. ERPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
23.2. Configuração do ERPS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
23.3. Exemplo de configuração. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
24. Configuração de rota estática 390
24.1. Visão geral de rota estática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390
24.2. Configuração detalhada da tabela de roteamento estático. . . . . . . . . . . . 390
24.3. Exemplo de configuração. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
25. Configuração 802.1 X 391
25.1. Visão geral de 802.1 x. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
25.2. Configuração do 802.1x. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
25.3. Exemplo de configuração. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406
26. Configuração RADIUS 407
26.1. Visão geral de RADIUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407
26.2. Configuração do RADIUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
26.3. Exemplo de configuração de RADIUS. . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
27. Configuração de segurança de porta 419
27.1. Visão geral de seguraça de porta. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419
27.2. Configuração da segurança de porta . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420
27.3. Exemplo de configuração de segurança de porta . . . . . . . . . . . . . . . . . . . 422
28. Cliente SNTP 424
28.1. Introdução a função SNTP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
28.2. Configuração do cliente SNTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
29. PPPoE Plus 435
29.1. Visão geral de PPPoE Plus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
29.2. Configuração de PPPoE Plus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435
30. Download e upload de arquivos 440
30.1. Download de arquivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
30.2. Upload de arquivos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
30.3. Backup e Restauração das Configurações. . . . . . . . . . . . . . . . . . . . . . . . . 443
31. Configuração de decompilação 444
31.1. Visão geral da configuração de decompilação. . . . . . . . . . . . . . . . . . . . . . 444
31.2. Comandos básicos de decompilação. . . . . . . . . . . . . . . . . . . . . . . . . . . . .445
31.3. Configuração do modo de execução. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446
32. Visão geral de alarme de utilização 448
32.1. Configuração de alarme de utilização. . . . . . . . . . . . . . . . . . . . . . . . . . . . 449
33. Alarme de e-mail 451
33.1. Visão geral de alarme de e-mail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
33.2. Configuração do alarme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451
33.3. Exemplo de configuração do alarme de e-mail. . . . . . . . . . . . . . . . . . . . . 452
34. Log do sistema 453
34.1. Visão geral do log de sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
34.2. Configuração do sistema de log. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
35. Manutenção do sistema 460
35.1. Visualização do status do sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460
35.2. Configuração do nome do host do OLT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
35.3. Configuração do relógio do sistema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462
35.4. Comando de teste de rede. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
35.5. Comando de rastreamento de rota. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464
35.6. Banner. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .464
35.7. O número de linhas exibidas ao visualizar informações. . . . . . . . . . . . . . . 465
35.8. Reiniciar o OLT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466
36. Configuração de sFlow 467
36.1. Introdução ao sFlow. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .467
36.2. Configuração de sFlow. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468
36.3. Exemplo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
37. Configuração de CFM 472
37.1. Introdução ao CFM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
37.2. Configuração de CFM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
37.3. Exemplo de configuração. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
38. Configuração de EFM 482
38.1. Introdução ao EFM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .482
38.2. Configuração do EFM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484
39. LLDP 491
39.1. Visão geral do LLDP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491
39.2. Configuração do LLDP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
39.3. Exemplo de configuração. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494
Termo de garantia 496
1. Conexões no OLT
1.1. Visão geral do login no OLT
O sistema suporta várias formas de login no OLT: porta serial, Telnet, SSH.
1.2. Login no OLT
Login no OLT via porta serial
O login através da porta console é a maneira mais básica de conectar-se ao dispositivo.
Por padrão, o usuário pode fazer o login no dispositivo diretamente pela porta serial.
Consulte as orientações a seguir para informações específicas:
1. Conforme exibido a seguir, use um cabo serial dedicado (acompanha com produ-
to), insira o conector DB9 do cabo na porta serial de 9 pinos do PC e, em seguida,
insira o conector RJ45 na porta de console do dispositivo;
RS232 Console
Serial port
PC Device
10
Parâmetros conexão serial
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
11
Obrigatório/
Operação Comando
opcional
Habilitar o servidor Telnet telnet enable Opcional
Desabilitar o servidor Telnet telnet disable Opcional
Limitação do número de
telnet limit value Opcional
usuários conectados
Visualização do limite de
show telnet limit Opcional
usuários conectados
Visualização dos clientes
show telnet client Opcional
conectados
Acesse o modo de execução enable -
Desconectar um usuário stop telnet client [all | user-id] Opcional
Timeout de cliente [no]timeout Opcional
Configuração de timeout de
timeout value Opcional
cliente
Obrigatório/
Operação Comando
opcional
Acesse o modo de execução enable -
telnet[6] server-ip [número-porta ]
Conexão ao servidor Telnet Obrigatório
[ /localecho ]
Acesse o modo de
configure terminal -
configuração global
Função de timeout [no] telnetclient timeout Opcional
Configuração de tempo de
telnetclient timeout value Opcional
timeout
12
Login no OLT via SSH
O OLT pode atuar como um servidor SSH, mas não como um cliente.
Por padrão, esta função está desabilitada. Portanto, antes de acessar o dispositivo,
você precisa fazer o login através da porta console ou via Telnet, em seguida, habilitar
o servidor SSH e os outros atributos para assegurar o login.
»» Configuração SSH:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Habilite/desabilite o SSH [no] ssh Obrigatório
Visualização das configurações
show ssh Opcional
SSH
Limitação do número de
[no] ssh limit value Opcional
usuários
Visualização do número de
show ssh limit Opcional
usuários
Acesse o modo de
configure terminal -
configuração privilegiado
Desconecte usuários stop vty [ all | user-id] Opcional
Configuração de chave padrão crypto key generate rsa Obrigatório
Remover o arquivo de chaves crypto key zeroize rsa Opcional
Ativar a chave crypto key refresh Opcional
Visualização do arquivo de
show keyfile {public | private} Opcional
chaves
13
Obs.: » Caso você precisar utilizar o login no OLT via SSH, o modo mais simples será:
»» Abrir o SSH.
»» Configurar uma chave padrão.
»» Ativar a chave.
»» O arquivo de chaves e as configurações são salvas na memória flash e não
são recompiladas.
1.3. Interface de linha de comando
Visão geral da interface de linha de comando
O sistema fornece uma série de configurações e interfaces de linha de comando e os
usuários podem configurar ou gerenciar o OLT através dela.
Recursos da interface de linha de comando:
»» Configuração local através da porta console.
»» Configuração local / remota através de Telnet e SSH.
»» Configuração da proteção hierárquica para proibir usuários não autorizados de acessar
o sistema.
»» Os usuários podem digitar ? para obter informações de ajuda a qualquer momento.
»» Fornecer comando de testes de rede, como ping, para diagnosticar se a rede está ativa.
»» Suporte FTP, TFTP, xmodem, para o cliente carregar o arquivo ou fazer o download
de arquivo.
Não há necessidade dos usuários digitarem os comandos completos, porque o in-
terpretador de linha de comando adota um método de pesquisa de correspondência
incompleta. Por exemplo, o usuário pode obter o comando da interface digitando
apenas interf.
Modo de configuração via linha de comando (CLI)
O modo de comando foi adotado para impedir o acesso de usuários não autorizados
ao sistema. Modos diferentes dão acesso a configurações diferentes. Por exemplo,
após o login, usuários de qualquer nível podem acessar o modo de usuário nor-
mal com permissão para verificar informações do sistema; no entanto, o adminis-
trador pode digitar enable para entrar no modo de configuração privilegiado. Sob
este modo, ele pode acessar o modo de configuração global digitando o configure
terminal. Neste modo, é possível acessar modos de comando diferentes através dos
comandos correspondentes. Por exemplo, se você digitar VLAN VLAN-list, você entra-
rá no modo de configuração VLAN.
A linha de comando fornece os seguintes modos de comando:
14
»» Modo de usuário.
»» Modo de configuração privilegiado.
»» Modo de configuração global.
»» Modo de configuração da interface Ethernet.
»» Modo de configuração da VLAN.
»» Modo de configuração AAA.
»» Modo de configuração RADIUS.
»» Modo de configuração de domínio.
»» Modo de configuração da interface VLAN.
»» Modo de configuração da interface SuperVLAN.
As características de cada um dos modos de comando podem ser verificadas a seguir:
»» Modo de linha de comando:
Entrar no
Modo Função Prompt Sair do modo
modo
Visualização Conecte-se ao Digite exit para
Modo de usuário do sistema OLT4840E> OLT e insira o desconectar do
do OLT usuário e senha OLT.
Digite exit para
Visualização e voltar para o
Modo de No modo do
configuração modo Usuário.
configuração OLT4840E# usuário, digite
do sistema Digite quit para
privilegiado enable
do OLT desconectar do
OLT.
Digite exit end
No modo para voltar ao
Modo de Configura
Privilegiado, modo Privilegiado.
configuração parâmetros OLT4840E(config)#
digite configure Digite quit para
global globais
terminal desconectar do
OLT.
No modo de Digite end
Configura
Modo de configuração para voltar
parâmetros OLT4840E(config-if-
configuração de global, digite para o modo
de portas ethernet-0/1)#
interface Ethernet interface Privilegiado.
Ethernet
Ethernet 0/0/1 Digite exit
No modo de para voltar
Modo de Configura
OLT4840E(config- configuração para o modo de
configuração de parâmetros de
if-vlan)# global, digite configuração
VLAN VLAN
vlan2 global. Digite
Modo de No modo de quit para
Configura o OLT4840E(config- desconectar do
configuração configuração
domínio aaa)# OLT.
AAA global, digite aaa
15
Entrar no
Modo Função Prompt Sair do modo
modo
No modo de Digite end
Modo de Configura os OLT4840E(config- configuração para voltar
configuração parâmetros radius-defau AAA, digite para o modo
RADIUS RADIUS lt)# radius host Privilegiado. Digite
default exit para voltar
No modo de para o modo de
Modo de Configura OLT4840E(config- configuração configuração
configuração de parâmetros de aaa-test.com AAA, digite AAA. Digite quit
domínio domínio )# domain test. para desconectar
com do OLT.
Digite end
para voltar
para o modo
No modo de Privilegiado.
Modo de Configura configuração Digite exit para
OLT4840E(config-if-
configuração de interface global, digite voltar para o
vlanInterface-22)#
interface VLAN VLAN interface vlan- modo Global de
interface 22 configuração.
Digite quit para
desconectar do
OLT.
Digite end
para voltar
para o modo
No modo de
Privilegiado.
OLT4840E(config-if- configuração
Modo de Configura Digite exit para
superVLA global, digite
configuração de interface voltar para o
NInterface-1)# interface
SuperVLAN SuperVLAN modo Global de
supervlan-
configuração.
interface 1
Digite quit para
desconectar do
OLT.
Compreendendo a sintaxe de comandos
Este capítulo descreve, principalmente, as etapas de configuração ao inserir a linha
de comando. Por favor use este e os seguintes capítulos para informações detalhadas
sobre como usar a interface de linha de comando.
A autenticação de login do console do sistema é principalmente para operar a iden-
tidade do usuário. Ele faz uma verificação através de usuário e senha, para permitir
ou negar um login.
16
»» O primeiro passo: quando o seguinte prompt de login aparecer na interface da
linha de comando:
‘Username (1-32 chars):’
Digite o nome do usuário de login e pressione o botão Enter e, em seguida, o prompt
exibirá:
‘Password (1-16 chars):’
Introduza a senha de login, se ela estiver correta, você pode acessar o modo de
usuário normal, o prompt informará:
OLT4840E>
Existem duas permissões diferentes no sistema OLT. Um é o privilégio de adminis-
trador e a outra são permissões comuns de usuários. Usuários comuns geralmente
só podem ver as informações de configuração, sem o direito de modificá-los. No
entanto, o administrador pode usar comandos específicos para alterar as configu-
rações do OLT.
Se você realizar o login como administrador do sistema, acesse o modo de usuário
privilegiado a partir do modo de usuário comum, conforme exibido:
OLT4840E> enable
OLT4840E#
»» O segundo passo: digite o comando.
Se o comando que você inserir não requerer outros parâmetros, você pode pular
para a terceira etapa. Caso contrário, continue com as seguintes etapas:
»» Se o comando requerer um parâmetro, insira-o. Você pode ter que incluir pala-
vras-chave antes deles para definir o que será configurado.
»» Geralmente, seu valor é especificado pelo seu tipo. Isto é: um valor numérico
dentro de um determinado escopo, ou uma informação de texto, ou um
endereço IP. Se você tiver alguma dúvida, você pode digitar ?, para então,
inserir o valor correto de acordo com o prompt. Palavras-chave referem-se
ao o que será configurado no comando.
»» Se o comando requerer múltiplos parâmetros, insira palavras-chave e cada va-
lor de acordo com o prompt de comando até aparecer a indicação <enter>.
Após isso, pressione a tecla <enter> para terminar este comando.
»» O terceiro passo: digite o comando completo e em seguida pressione a tecla
<enter>.
17
Por exemplo:
! O usuário não precisa inserir parâmetros
OLT4840E # quit
quit é um comando sem parâmetros. quit é o nome do comando, pressionando
<enter>, o comando será executado.
18
2. Digite ? logo após palavras-chave incompletas:
OLT4840E (config) #interf?
Interface
3. Digite ? após um comando e um caractere de espaço:
OLT4840E (config) # spanning-tree?
forward-time config switch delaytime
hello-time config switch hellotime
max-age config switch max agingtime
priority config switch priority
<enter> The command end.
4. Formato/intervalo dos parâmetros:
OLT4840E(config)#spanning-tree forward-time ?
INTEGER<4-30> switch delaytime: <4-30>(second)
5. Ending prompt command line:
OLT4840E(config)#spanning-tree ?
<enter> The command end.
OLT4840E #?
Comando de histórico
Os comandos inseridos pelos usuários podem ser salvos automaticamente pela CLI e
você pode invocá-los ou executar novamente a qualquer momento. O buffer de his-
tórico de comandos é definido previamente como 100. Ou seja, é possível armazenar
no máximo 100 comandos de histórico para cada usuário.
Você pode acessar o último comando digitando Ctrl + P; você pode acessar o próxi-
mo comando digitando Ctrl + N.
Tipos de parâmetros de comando
Existem 5 tipos de parâmetros:
»» Integer (inteiro).
Os dois números nos colchetes angulares (<>), conectados pelo hífen (-) significam
que esse parâmetro é o número inteiro entre esses dois números.
Por exemplo: INTEGER <1-10> significa que o usuário pode digitar qualquer núme-
ro inteiro maior ou igual a 1 e menor ou igual a 10, como 8.
19
»» IP Address (endereço IP).
A.B.C.D significa um endereço de IP
Por exemplo: 192.168.0.100 é um IP válido.
»» MAC Address (endereço MAC).
H:H:H:H:H:H significa um endereço MAC. Se um endereço MAC multicast for neces-
sário, será apresentado um endereço correspondente do prompt.
Por exemplo: 01:02:03:04:05:06 é um endereço MAC válido.
»» Interface list (lista de interface).
A lista de interface é solicitada como STRING <3-4>. A interface do parâmetro da
porta consiste no tipo de porta e no número da porta. O tipo de porta é Ethernet e o
número da porta é slot-num/port-num. Slot-num significa número do slot, o interva-
lo de dados é 0-1; Port-num é o número da porta no slot, o intervalo de dados é de
1-12. Um parâmetro de porta interface-list significa múltiplas portas. Portas em série
do mesmo tipo podem ser conectadas escrevendo to, mas o número da porta atrás
do to deve ser maior do que o da frente, e esse argumento só pode ser repetido até
3 vezes. A declaração especial da lista da interface do parâmetro da interface será
exibida no comando.
Por exemplo: show spanning-tree interface ethernet 0/1 ethernet 0/3 to ethernet
0/5
Significa mostrar a informação de spanning-tree sobre as interfaces Ethernet 0/1,
Ethernet 0/3, Ethernet 0/4 e Ethernet 0/5.
»» String.
Se o prompt apresentar STRING <1-19> significa um texto que pode variar de 1
caractere a 19 caracteres. Digite ? para verificar a descrição do parâmetro deste
comando.
20
Mensagens de erro
Mensagem no
Explicação do erro Causa Solução
prompt
Pode haver mais
de um comando no
sistema.
Digite ? para
O comando está O sistema não
visualizar a tabela de
incompleto e o pôde reconhecer a
Incomplete command comandos disponíveis
sistema não pôde abreviação.
ou digite o comando
reconhecê-lo O comando não
completo.
está completo e é
necessário inserir
mais parâmetros.
Parâmetro fora do Verifique o intervalo
Invalid parameter Parâmetro inválido intervalo permitido do parâmetro e o
pelo comando. reinsira.
Você digitou um
Erros de digitação, ou Digite ? para ver a
Unrecognized comando errado e
um comando que não lista de comandos
command o sistema não pôde
existe no sistema. disponíveis.
reconhecê-lo
2. Gerenciamento do equipamento
2.1. Visão geral das funções de gerenciamento de funções
Faça o login no OLT para executar a configuração de gerenciamento, deve ser feita a
autenticação e a autorização para impedir acesso ilegal de usuários e/ou acessos não
autorizados. A gestão de usuários é o gerenciamento na autenticação e autorização
de usuários. Se esta função é executada pelo próprio sistema do OLT, ela é chamada
de autenticação local. Se é realizada por um sistema diferente do sistema do OLT
(geralmente através de um servidor de autenticação, como o servidor do RADIUS), ela
é chamada de autenticação remota. O conteúdo de gerenciamento de usuário neste
capítulo refere-se à autenticação local.
O OLT possui três tipos de permissões:
»» Usuário comum.
Usuários comuns têm o nível de privilégio mais baixo. Eles só podem acessar o modo
de execução e ver as informações do sistema. No entanto, eles não podem fazer
outras alterações e não podem modificar suas próprias senhas.
21
»» Usuário administrador.
Os administradores não só têm os direitos dos usuários comuns, mas também po-
dem configurar o OLT e modificar suas próprias senhas. No entanto, eles não podem
criar usuários e modificar a senha de outros.
»» Superusuário.
O superusuário é o usuário padrão do sistema: admin. O sistema possui apenas um
superusuário e ele não pode ser excluído. O superusuário tem todas as permissões:
pode fazer qualquer configuração OLT, criar usuários, modificar a sua própria senha
e as senhas de outros usuários, excluir usuários e assim por diante. A senha padrão
para o usuário admin é admin. Todas as configurações citadas neste manual utilizam
o usuário admin, a não ser que esteja explicitado de outra forma.
Configuração de gerenciamento de usuários
O sistema pode criar até 15 usuários. Após você acessar o equipamento como usuá-
rio admin, você pode adicionar novos usuários, modificar suas senhas, modificar seus
direitos, excluir contas, limitar os métodos de login e assim por diante. Usuários co-
muns não podem modificar suas próprias senhas. Os administradores podem modi-
ficar suas próprias senhas, mas não podem modificar as senhas de outros usuários.
Os super usuários podem modificar a senha de qualquer usuário. Além disso, pode
visualizar as informações das configurações dos usuários em todos os modos.
Permissões: 0-1 para usuário comum, 2-15 para usuário administrador. Para o super
usuário (admin) não é necessária configuração. Se você não inserir um valor de per-
missão ao criar um usuário, o sistema irá atribuí-lo automaticamente com permissões
de usuário comum.
Por padrão, o usuário pode fazer o login via porta serial, SSH, Telnet.
Até 5 usuários podem estar online ao mesmo tempo.
»» Configuração do gerenciamento de usuários:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal Obrigatório
configuração global
username username privilege pri-value
Crie usuários Opcional
password { 0|7 } password
A senha do usuário é salva em Opcional
service password-encryption
texto criptografado
22
Obrigatório/
Operação Comando
opcional
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal Obrigatório
configuração global
Configuração de limite de
[no] username failmax {fail-value |
tentativas consecutivas de Obrigatório
username fail-value}
logins sem sucesso
Configuração de tempo de
username silent-time value Opcional
silêncio
Visualização de configuração
show username silent Opcional
de silêncio
24
Esta autenticação inclui autenticação local e autenticação remota. Se o gerenciamento
de usuários é local, a autenticação de senha de segunda camada também será local. Da
mesma forma, se o gerenciamento de usuários usa autenticação remota, a autenticação
de senha de segunda camada também usará a autenticação remota. O gerenciamento de
usuários e a autenticação de senha usam o mesmo servidor de autenticação.
Configuração de senha de autenticação de segundo nível
A função de autenticação de senha de segundo nível está desativada por padrão. Se o
usuário local (nível de privilégio 0-1) logar no OLT e tentar entrar no modo Privilegiado,
o sistema solicita uma senha. Digite a senha secundária e em seguida a autenticação
será executada. Se você estiver usando autenticação remota, quando um usuário comum
(nível de privilégio 0-1) logar no OLT e tenta entrar no modo Privilegiado, o OLT usa au-
tomaticamente o nome do usuário e a senha configurada para autenticação de senha de
segundo nível para executar a autenticação. Se a autenticação passar, a autenticação de
senha de segunda camada é considerada bem-sucedida.
Ao usar a autenticação remota, consulte o Manual do Usuário na Autenticação Remota
para a sua configuração.
»» Configuração de senha de autenticação de segundo nível:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal Obrigatório
configuração global
(Des)Habilite a função [no] username privilege-auth Obrigatório
Configuração de senha de username change-privilege-pwd {0|7}
Obrigatório
segundo nível senha
Configuração de usuário de [no] username privilege-auth-user
Obrigatório
autenticação de segundo nível usuário
Visualização de configurações
Opcional
de autenticação de segundo show username privilege-auth
nível
Obs.: se a senha for selecionada como 0, ela indica que a senha está em texto
simples. Se você selecionar 7, a senha é texto criptografado. Você deve usar o texto
simples correspondente para autenticação.
25
Exemplo de configuração para autenticação de segundo nível
Requisitos de rede
Os usuários normais acessam o OLT através do terminal da porta serial e possuem os
privilégios de administrador após passar a autenticação de senha secundária.
Passos para configuração
»» Utilize o usuário admin para fazer o login e crie um usuário normal: test/test.
OLT4840E(config)#username test privilege 0 password 0 test
»» Se a autenticação de segundo nível não estiver configurada, faça o login como
um usuário normal.
OLT4840E(config)#quit
Username:test
Password:**** (Senha: test)
»» Após realizar o login, faça uma tentativa de acesso ao modo Privilegiado, esta
tentativa deve falhar.
OLT4840E>en
OLT4840E>en
»» Realize novamente o login como admin para configurar os parâmetros de auten-
ticação de segundo nível.
»» Habilite a autenticação de segundo nível.
OLT4840E(config)#username privilege-auth
»» Configure o usuário da autenticação de segundo nível.
OLT4840E(config)#username privilege-auth-remote-user testtest
»» Configure a senha do usuário da autenticação de segundo nível (quando o usuá-
rio acessar o modo Privilegiado, esta senha será solicitada).
OLT4840E(config)#username change-privilege-pwd 0 123456
Please input your login password : **** (Verifique se você possui os privilégios)
Change password successfully.
»» Realize novamente o login utilizando o usuário test/test.
OLT4840E(config)#quit
Username:test
Password:**** (senha: test )
26
»» Tente acessar o modo Privilegiado e insira a senha solicitada.
OLT4840E>
»» Digite a senha do usuário normal test. O sistema irá informar que a senha está
errada.
OLT4840E>enable
Please input password : **** (senha: test)
Password is error.
OLT4840E>
»» Digite a senha de autenticação de segundo nível correta: 123456. O sistema irá
permitir o acesso e você terá acesso ao modo Privilegiado e ao modo Global,
podendo modificar outros parâmetros do sistema.
OLT4840E>enable
Please input password : ****** (enter the password of second-tier password au-
thentication:
123456)
OLT4840E#configure terminal
OLT4840E(config)#
2.3. Autenticação remota
As informações do usuário podem ser salvas no banco de dados do OLT ou salvas
em um servidor externo, conhecidos por servidores de autenticação, como o servidor
RADIUS, TACACS+. As informações dos usuários são armazenadas no OLT local, se
o OLT não puder completar a autenticação local, ele deve autenticar através do ser-
vidor, esta é a autenticação remota. Ao usar a autenticação remota, assegure-se de
que a comunicação entre o OLT e o servidor esteja funcional e que o usuário que fez
login está configurado no servidor de autenticação.
Configuração do modo de autenticação
A autenticação local (padrão) e remota são usadas para a autenticação do sistema
OLT. Ambas modalidades podem ser usadas em combinação e a autenticação remota
terá precedência. Além disso, a autenticação local é executada somente quando a
autenticação remota falhar. A autenticação remota suporta autenticação RADIUS e
autenticação TACACS +.
27
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional
Configuração para utilizar
muser local (configuração
autenticação local
padrão)
Configuração para utilização muser radius radius-name { pap | chap } [[
Opcional
de servidor RADIUS remoto account ] local ]
Configuração para utilização muser tacacs+ [ [author] [account]
Opcional
de servidor TACACS+ remoto [command-account] [local] ]
Visualização de configurações
show muser Opcional
de autenticação
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração para utilização muser radius radius-name { pap | chap } [[
Obrigatório
de servidor RADIUS remoto account ] local]
Visualização de configurações
show muser Opcional
de autenticação
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
Aaa Obrigatório
configuração AAA
Configuração do nome do
radius host radius-name Obrigatório
servidor RADIUS
Configuração do servidor de {primary-auth-ip | second-auth-ip }
Obrigatório
autenticação RADIUS ip-addressauth-port
28
Obrigatório/
Operação Comando
opcional
Configuração da chave de
auth-secret-key key-value Obrigatório
autenticação RADIUS
Configuração do servidor de { primary-acct-ip | second-acct-ip }
Obrigatório
contas RADIUS ip-address acct-port
Configuração de chave de
auth-secret-key key-value Obrigatório
contas RADIUS
Opcional, 0
por padrão
Configuração de troca para o
preemption-time value (significa
servidor primário após falha
que não será
trocado)
Visualização de configurações show radius host [ radius-name ] Opcional
»» Configuração de domínio:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
Aaa Obrigatório
configuração AAA
Configuração do nome do
domain domain-name Opcional
domínio RADIUS
Vínculo do domínio com o
radius host binding radius-name Obrigatório
servidor RADIUS
Ativação do domínio state active Obrigatório
Opcional,
Desativar o domínio state block configuração
padrão
Opcional,
Configuração de domínio default domain-name enable domain- modo de
padrão name configuração
AAA
Opcional,
modo de
Remover domínio padrão default domain-name disable
configuração
AAA
Visualização de configurações show domain [ domain-name] Opcional
29
Configuração de autenticação TACACS+ remota
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração para utilização muser tacacs+ [ [author] [account]
Obrigatório
de servidor TACACS+ remoto [command-account] [local] ]
Opcional,
visualização
Visualização da criptografia do
[no] tacacs+ encrypt-key de texto
password
simples por
padrão
Configuração de tipo de Opcional, por
tacacs+ authentication-type ascii | chap | pap
autenticação padrão ASCII
tacacs+ { primary | secondary } serverip-
Configuração do servidor
address [keyvalue] [portport-number] Obrigatório
TACACS+
[timeout value]
Opcional, 0
por padrão
Configuração de troca para o
tacacs+ preemption-time value (significa
servidor primário após falha
que não será
trocado)
Visualização de configurações
show tacacs+ Obrigatório
de autenticação TACACS+
2.4. Limitação de IP
Visão geral de limitação de IP
A limitação de IP restringe o IP dos usuários que efetuam login no OLT, ou seja, ape-
nas os usuários com IP específicos possuem acesso. A limitação de IP pode melhorar
a segurança do sistema.
31
Configuração de limitação de IP
Por padrão, não há restrição, ou seja, qualquer IP pode acessar o OLT, desde que o
nome de usuário e a senha estejam corretos. Se você precisa permitir que os usuários
com o IP específico acessem o OLT, primeiro você deve configurá-lo para não permitir
o acesso de qualquer IP e em seguida, configurar os endereços IP permitidos.
A configuração para o acesso do usuário Telnet também se aplica aos usuários via SSH.
»» Configuração de limitação de IP:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional,
login-access-list [ snmp | telnet ] 0.0.0.0 [
Habilitar o acesso a qualquer IP configuração
0.0.0.0 | 255.255.255.255]
padrão
no login-access-list [all | telnet | snmp |
Proibir acesso de todos os IPs Obrigatório
software ]
Habilitar acesso de IPs login-access-list [ snmp | telnet | software ]
Obrigatório
específicos ip-address mask
Visualização de configurações show login-access-list Opcional
Limitação do número de
usuários simultâneos online login-access-list telnet-limit user- Opcional, 5
através de Telnet no modo number por padrão
Privilegiado
Exemplo de configuração
»» Requisitos de rede:
OLT IP = 192.168.1.1 / 24, só permite o segmento de rede 192.168.1.0/24 IP atra-
vés do OLT de gerenciamento de login Telnet.
»» Passos de configuração:
»» Verifique a configuração padrão: todos os IPs podem fazer login no OLT através
do Telnet.
OLT4840E (config) #show login-access-list
sno ipAddress wildcard bits terminal
1 0.0.0.0 255.255.255.255 snmp
2 0.0.0.0 255.255.255.255 web
32
3 0.0.0.0 255.255.255.255 telnet
total [3] entry.
»» Não permita que nenhum IP faça Telnet para o OLT:
OLT4840E (config) #no login-access-list telnet all
»» Configure para permitir que a rede 192.168.1.0/24 acesse o OLT via Telnet:
OLT4840E (config) # login-access-list telnet 192.168.1.0 0.0.0.255
OLT4840E (config) #show login-access-list
sno ipAddress wildcard bits terminal
1 0.0.0.0 255.255.255.255 snmp
2 0.0.0.0 255.255.255.255 web
3 192.168.1.0 0.0.0.255 telnet
Total [3] entry.
2.5. Configuração de timeout
Visão geral de timeout
O usuário que faz o login via Telnet, SSH, console terminal, se estiver logado por um
longo período de tempo, mas não executar nenhuma operação, além de tornar o am-
biente inseguro estará consumindo carga da CPU, podendo afetar a performance do
equipamento. Portanto, se o usuário conectado não estiver ativo por um longo período
de tempo, o sistema automaticamente o força a sair, função conhecida como timeout.
Configuração de timeout
Obrigatório/
Operação Comando
opcional
Acesse o modo Privilegiado de
enable -
configuração
Opcional,
habilitado por
Habilite e configure o tempo
timeout min padrão com
de timeout
valor de 20
minutos
Desabilite a função Timeout no timeout Opcional
Visualização de configuração
show running-config oam Opcional
de timeout
Obs.: a configuração de timeout apenas aceita os efeitos no Telnet, SSH, console terminal.
33
2.6. Atualizar firmware em caso de crash
Para atualizar o OLT primeiramente é preciso criar um servidor FTP com os arquivos para
atualização. Logo em seguida, é necessário conectar-se via serial no OLT e conectar seu
computador à porta AUX. Configure sua placa de rede para o IP padrão apresentado abai-
xo. Consulte o item 1.2. Login no OLT deste manual para mais informações sobre o acesso.
»» Passo de configuração:
Switch IP address: 1.1.1.2
FTP server IP address: 1.1.1.1
FTP server username: grn
FTP server password: 123
Filename of the application software to be downloaded: host.arj
Filename of BootRom software to be downloaded (boot device is FLASH): boo-
trom_flash.bin
Obs.: o arquivo “host.arj” é um arquivo compactado e não deve ser descompactado,
já o arquivo “bootrom_flash.bin” é um arquivo binário.
Após isso, é preciso desligar o OLT, ligar novamente e continuar na tela de acesso dele.
Na mesma tela do sistema, habilite o Caps lock e pressione a tecla A seguidamente.
Na sequência irá aparecer um menu, selecione a opção 5. Display the boot configuration.
Esse comando irá mostrar as configurações que devem ser seguidas para fazer a
atualização de firmware.
Passo 1: selecione a opção Download via ethernet (ftp).
Passo 2: selecione a opção Download image via network interface and save to
FLASH. Após a atualização é necessario realizar o boot no OLT.
Passo 3: selecione opção Update BootRom to FLASH via network interface.
Passo 4: selecione opção Boot from flash.
2.7. Atualização de firmware
Para atualizar o OLT primeiramente é preciso criar um servidor FTP com os arquivos
para atualização. Logo em seguida, é necessário conectar seu computador em uma
das portas GE (1-8) da OLT. Acesse a OLT, certifique-se que o IP da placa de rede
esteja no mesmo segmento de ree do equipamento. Consulte o item 1.2. Login no
OLT, deste manual para mais informações sobre o acesso.
»» Requisitos de rede:
OLT IP = 192.168.10.1/24, só permite o semgmento de rede 192.168.10.0/24
34
IP através da OLT de gerenciamento de login Telnet.
»» Configurando servidor TFTP:
»» Defina o IP do servidor TFTP no mesmo segmento de rede da OLT ex.: 192.168.10.42
»» Mova o arquivo host.arj com a versão desejada para o diretório do servidor TFTP
»» Acesse a OLT e siga os passos para atualização:
»» OLT4840E>enable
»» OLT4840E#load application tftp inet 192.168.10.42 host.arj
Downloading application via TFTP...
Downloading application via successfully...
»» OLT40E# reboot
Após isso, é preciso aguardar a OLT reiniciar.
35
3. Configuração de porta
3.1. Configurações básicas de porta
Estas configurações são aplicadas apenas às portas Ethernet.
Acessar o modo de configuração de porta
»» Habilitar porta:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface {ethernet|pon} port-number Obrigatório
configuração de porta
Acesse o modo de interface range {ethernet | pon} port-
Opcional
configuração em massa number to {ethernet | pon} port-number
Habilitar a porta
Por padrão, todas as portas estão habilitadas, ou seja, a porta estará no estado de
linkup se o OLT estiver ativo. No entanto, certas portas poderão ser desabilitadas e
entrarão em estado de linkdown por razões de segurança.
»» Habilitar porta:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface {ethernet|pon} port-number -
configuração de porta
Opcional,
Habilita porta no shutdown configuração
padrão
Desabilitar porta shutdown Opcional
Visualização detalhada da
show interface {ethernet | pon} port-number Opcional
porta
36
Descrição de interface
»» Descrição de interface:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface {ethernet|pon} port-number -
configuração de porta
Configuração de descrição de
description Opcional
interface
Opcional,
Remover descrição de interface no description configuração
padrão
Visualização da descrição da show description interface [ {ethernet |
Opcional
interface pon} port-number ]
Visualização detalhada da
show interface {ethernet | pon} port-number Opcional
descrição da interface
Visualização resumida da show interface brief ethernet [ port-
Opcional
descrição da interface number ]
Modo Duplex
»» Modo Duplex:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface {ethernet|pon} port-number -
configuração de porta
Opcional,
Restauração de modo Padrão no duplex configuração
padrão auto
Visualização detalhada da
show interface {ethernet | pon} port-number Opcional
descrição da configuração
37
Taxa de transmissão da interface
»» Taxa de transmissão da interface:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface {ethernet|pon} port-number -
configuração de porta
Opcional,
Restauração de taxa de configuração
no speed
transmissão da interface padrão
automática
Visualização detalhada da
show interface {ethernet | pon} port-number Opcional
descrição da configuração
38
Exemplo de configuração
»» Requisitos de rede:
Configure a descrição da porta 1: teste: modifique a prioridade para 7, configu-
re a interface apenas aceitar frames com tag, desative a filtragem de entrada.
1 2
Tester B
Tester A
OLT
»» Passos de configuração:
»» Configure a descrição.
OLT4840E (config) #interface ethernet 0/1
OLT4840E (config-if-ethernet-0/1) #description test
»» Modificar a prioridade.
OLT4840E (config-if-ethernet-0/1) #priority 7
»» Configure a interface para aceitar apenas frame com tag.
OLT4840E (config-if-ethernet-0/1) #ingress acceptable-frame tagged
»» Desativar filtro de entrada.
OLT4840E (config-if-ethernet-0/1) #no ingress filtering
»» Crie a VLAN 100 e configurar a interface ethernet 2 como modo Trunk.
OLT4840E (config) #vlan 100
OLT4840E (config-if-vlan) #switchport ethernet 0/2
OLT4840E (config-if-vlan) #interface ethernet 0/2
OLT4840E (config-if-ethernet-0/2) #switchport mode trunk
»» Validação do resultado.
»» O tester A encaminha a mensagem da VLAN 100 para a porta 1, e a porta do
tester pode ser capaz de receber a mensagem da VLAN 100.
»» O tester A encaminha a mensagem não marcada para a porta 1 e a porta 1
descarta a mensagem sem tag.
39
3.2. Configuração de agregação de portas
Visão geral de agregação de portas
A agregação de portas é a função utilizada para agrupar várias portas físicas para
formar um grupo de agregação, com intenção de implementar um balanceamento de
carga e um backup redundante de links.
A configuração básica das portas em um grupo de agregação deve ser consistente.
Ela inclui STP, VLAN, atributos de porta e assim por diante.
»» As configurações STP incluem: ativação/desativação, prioridade e custo do STP.
»» As configurações de VLAN incluem: a porta que permite a VLAN, porta PVID.
»» A configuração dos atributos da porta são: a velocidade da porta, o modo Duplex
(deve ser full duplex) e o tipo de link (isto é, trunk, híbrido e acesso). Todos devem
ser correspondentes.
Em um mesmo OLT, se esses atributos de uma porta de um grupo forem modificados,
as outras portas serão sincronizadas automaticamente.
Existem diferentes modos de agregação, e elas podem ser classificadas em LACP
estático e dinâmico.
Existem três tipos de modelos de protocolo:
»» Modo Estático (ligado): não executa o protocolo LACP (apenas pode se conec-
tar com outro modo Estático).
»» Modo Ativo dinâmico: no modo Ativo, a porta inicia automaticamente a nego-
ciação LACP (pode se conectar com modo Ativo ou Passivo).
»» Modo Passivo dinâmico: no modo Passivo, uma porta apenas responde à ne-
gociação LACP (apenas pode se conectar com modo Ativo).
Configuração de ID do grupo de agregação
A mesma porta não pode se conectar a múltiplos IDs ao mesmo tempo. Se um mem-
bro existe em um grupo de agregação, você não pode excluí-lo diretamente, antes é
preciso remover seus membros.
Você pode criar diretamente um ID de agregação no modo de configuração global ou
criar automaticamente ao adicionar uma porta a um grupo de agregação.
40
»» Configuração de ID LACP:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração do ID do grupo
[no] channel-group ch-id Opcional
de agregação
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface ethernet port-number -
configuração de interface
Adicionar uma porta a um channel-group ch-id mode {on | active |
Obrigatório
grupo de agregação passive}
Remover uma porta do grupo
no channel-group ch-id Opcional
de agregação
Visualização das informações
show lacp internal [ch-id] Opcional
de grupo de agregação
Visualização das informações
vizinhas ao grupo de show lacp neighbor [ch-id] Opcional
agregação
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração da prioridade
lacp system-priority value Opcional
do sistema
Restaurar a configuração
no lacp system-priority Opcional
padrão
Visualização da prioridade do
show lacp sys0id Opcional
sistema
42
Configuração de prioridade de porta
Quando um LACP dinâmico está sendo executado, o OLT master (mestre) seleciona a
porta lógica de acordo com o seu ID, que consiste em sua prioridade e o seu número.
A porta lógica no LACP é usada para encaminhar pacotes de protocolo, como o STP.
Quando o OLT master (mestre) seleciona a porta lógica: primeiramente, é comparada
a prioridade, o valor menor ganha; se a prioridade for a mesma, então compara-se
o número da porta, o valor menor ganha. Por padrão, as prioridades de portas são
iguais e seu valor é 128. No entanto, este valor pode ser modificado, além disso, ele
precisa ser um múltiplo de 16, caso contrário, ele usará automaticamente o resultado
de N dividido por 16. Por exemplo, se você definir a prioridade da porta como 17, a
o valor emitido será 17 \ 16 = 1.
A porta lógica no OLT não precisa ser selecionada e usa diretamente a porta do
membro LACP conectada à porta lógica do OLT master (mestre).
»» Configuração de prioridade de porta:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface ethernet port-number -
configuração de interface
Configuração da prioridade da
lacp port-priority value Opcional
interface
Restaurar a configuração
no lacp port-priority Opcional
padrão
1 1
2 2
3 3
4 4
43
»» Passos de configuração:
»» Configuração do SW1:
OLT1(config)#channel-group 10
OLT1(config)#interface range ethernet 0/1 to ethernet 0/4
OLT1(config-if-range)#channel-group 10 mode active
»» Configuração do SW2:
OLT2(config)#interface range ethernet 0/1 to ethernet 0/4
OLT2(config-if-range)#channel-group 2 mode active
»» Validação de resultados.
»» Após a negociação dinâmica da LACP ter sucesso, a informação é exibida
OLT1(config)#show lacp internal
load balance: src-mac
Channel: 10, dynamic channel
Port State A-Key O-Key Priority Logic-port Actor-state
e0/1 bndl 11 11 128 1 10111100
e0/2 bndl 11 11 128 1 10111100
e0/3 bndl 11 11 128 1 10111100
e0/4 bndl 11 11 128 1 10111100
actor-state: activity/timeout/aggregation/synchronization
collecting/distributing/defaulted/expired
44
»» Configuração do isolamento de portas baseado em configuração de portas:
Obrigatório/
Operação Comando
opcional
Acesse o modo de configuração global configure terminal -
Acesse o modo de configuração de portas interface {ethernet | pon} port-number Obrigatório
Remover todas as portas de uplink e
no port-isolation uplink all Obrigatório
downlink
port-isolation uplink {ethernet |
Configuração de isolamento de portas Obrigatório
pon} port-number
no port-isolation uplink [all |
Remover o isolamento de portas Opcional
{ethernet | pon} port-number]
Visualização do isolamento de portas show port-isolation Opcional
Obs.: nesta configuração, a porta que não está configurada como uma porta isolada
é a porta de uplink.
Exemplo de configuração de isolamento de portas
»» Requisitos de rede:
PC1, PC2 e PC3 estão conectados às portas 2, 3 e 4 do OLT. O OLT está conec-
tado à rede externa através da porta 1. PC1, PC2 e PC3 precisam ser isolados
entre a camada 2 e a camada 3. O diagrama de rede é o seguinte:
Dispositivo 1
2 4
3
45
»» Passos de configuração:
»» Configure as portas 2, 3 e 4 como portas de downlink e a porta 1 como porta
de uplink.
OLT4840E(config)#interface range ethernet 0/2 to ethernet 0/4
OLT4840E(config-if-rang)#port-isolation uplink ethernet 0/1
»» Validação de resultados:
OLT4840E(config)#show port-isolation
downlink port :uplink port
e0/2. : e0/1.
e0/3. : e0/1.
e0/4. : e0/1.
As portas e/0/0/2, e0/0/3 e e0/0/4 não podem comunicar-se entre si, apenas com
a porta e0/0/1.
3.4. Loopback
Visão geral de loopback
Um teste de loopback permite que você envie e receba dados de uma porta para ela
mesma para verificar se ela está operacional. Para executar este teste, você precisa
conectar temporariamente os pinos apropriados para permitir que os sinais sejam
enviados e recebidos na mesma porta (loopback external). Durante ele, a porta não
pode transmitir os pacotes, somente quando este teste terminar.
Configuração de loopback
»» Configuração de loopback:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Teste de loop interno loopback internal Obrigatório
Teste de loop externo loopback external Obrigatório
Acesse o modo de
interface {ethernet | pon} port-number Opcional
configuração de porta
Teste de loop interno loopback internal Opcional
Teste de loop externo loopback external Opcional
46
Exemplo de configuração de loopback
»» Requisitos de rede:
Nenhum.
»» Passos de configuração:
Nenhum.
»» Validação de resultados:
»» Teste de loop interno:
OLT4840E(config)#interface interface range ethernet 0/1 to ethernet 0/2
OLT4840E(config-if-range)#loopback internal
Port ethernet e0/1 internal looptest successfully
Port ethernet e0/2 internal looptest successfully
»» Teste de loop externo:
OLT4840E(config-if-range)#loopback external
Port ethernet e2/0/5 external looptest successfully
Port ethernet e2/0/6 external looptest successfully
47
Visualização de configuração de VCT show vct auto-run Opcional
Acesse o modo de configuração de porta interface ethernet port-number -
Executar VCT manualmente vct run Opcional
Executar VCT automaticamente vct auto-run Opcional
Tester
OLT
Diagrama esquemático VCT
»» Passos de configuração.
Nenhum.
»» Validação de resultados.
»» Execute o VCT para as portas em que os cabos estão conectados.
OLT4840E(config)#interface ethernet 0/1
Port ethernet 0/1 VCT result :
TX pair RX pair
status : NORMAL NORMAL
locate : _ _
»» Execute o VCT para as portas em que os cabos não estão conectados.
OLT4840E(config-if-ethernet-0/1)#interface ethernet 0/12
OLT4840E(config-if-ethernet-0/12)#vct run
Port ethernet 0/12 VCT result :
TX pair RX pair
status : OPEN OPEN
48
locate : 7 6
3.6. DDM - monitoramento de diagnóstico digital
Visão geral de DDM
O DDM é usado para testar o parâmetro SFP, por exemplo: temperatura, Vdc, corrente
de polarização de Tx, potência de Tx, potência de Rx.
Visualização de informações de teste DDM
»» Visualização de informações de teste DDM:
Obrigatório/
Operação Comando
opcional
Acesse o modo de configuração global configure terminal -
show interface sfp [ethernet
Visualização de informações de teste DDM Obrigatório
port-number]
Obs.: insira o módulo óptico, você pode executar a detecção DDM. A porta PON não
suporta esta função.
Exemplo de configuração de DDM
»» Requisitos de rede
O OLT e o dispositivo de referência estão conectados com o SFP que suporta
teste DDM para verificar a informação da prova DDM.
OLT
Mapa de esboço do teste de DDM
»» Passos de configuração.
Nenhum.
»» Validação de resultados.
»» Visualização das informações do teste DDM no OLT.
OLT4840E(config)#show interface sfp ethernet 0/1/1
Port e0/1/1 :
49
Common information:
Transceiver Type :SFP
Compliance 10G BASE-LR
Connector Type :LC
WaveLength(nm) :1310
Transfer Distance(m) :10000(9um)
Digital Diagnostic Monitoring :YES
VendorName :WTD
Manufacture information:
Manu. Serial Number :BP132500260047
Manufacturing Date :2013-06-19
VendorName :WTD
Diagnostic information:
Temperature(°C) :28
Voltage(V) :3.3098
Bias Current(mA) :35.419
Bias High Threshold(mA) :70.00
Bias Low Threshold(mA) :15.00
RX Power(dBm) :-2.80
RX Power High Threshold(dBm) :0.00
RX Power Low Threshold(dBm) :-15.20
TX Power(dBm) :-3.10
TX Power High Threshold(dBm) :0.00
TX Power Low Threshold(dBm) :-8.20
3.7. Estatísticas de porta
A porta calculará o status de recebimento de pacotes e de transmissão de pacotes
para facilitar ao administrador analisar as causas de falha.
Estatística de pacote nas portas
De modo geral, as informações estatísticas incluem a taxa de o erro de recebimento
e transmissão de pacotes, estatística classificada de acordo com o byte, multicast,
unicast e broadcast, estatística de perda de pacotes.
50
Consulte o exemplo para obter informações detalhadas.
»» Estatísticas de portas:
Obrigatório/
Operação Comando
opcional
Acesse o modo de configuração global configure terminal -
show statistic interface ethernet
Visualização de estatísticas de porta Obrigatório
[port-number]
clear interface ethernet [port-
Limpar estatísticas de porta Opcional
number]
Visualização de estatísticas de porta em
show statistics dynamic interface Obrigatório
tempo real
Visualização de utilização de portas show utilization interface Obrigatório
show interface [{ethernet | pon}
Visualização de informação de interface Opcional
port-number]
Obrigatório/
Operação Comando
opcional
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Visualização das estatísticas da
show statistics channel-group [ channel-id ] Obrigatório
porta LACP
Limpar estatísticas da porta
clear channel-group [ channel-id ] Obrigatório
LACP
Visualização das estatísticas da show statistics dynamic interface
Obrigatório
porta LACP em tempo real channel-group
1 2
Tester B
Tester A
OLT
3.8. Controle de fluxo
Visão geral do controle de fluxo
Quando OLTs conectados entre si habilitam a função de controle de fluxo e se um
deles estiver congestionado:
1. OLT envia uma mensagem para o OLT de outro lado para notificá-lo para parar de
enviar pacotes ou diminuir a velocidade de envio;
2. Depois de receber a mensagem, o OLT do outro lado deixa de enviar pacotes ou
retarda a velocidade de envio. Isso evita que os pacotes sejam perdidos e garante
o funcionamento normal dos serviços de rede.
Configuração de controle de fluxo
»» Configuração de controle de fluxo:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Obrigatório,
(Des) Habilite o controle de
[no] flow-control desabilitado
fluxo
por padrão
Visualização das configurações show flow-control interface [ethernet
Opcional
do controle de fluxo port-number]
OLT
»» Passos de configuração.
»» Configure o controle de fluxo das portas 1 e 2
OLT4840E(config)#interface range ethernet 0/1 ethernet 0/2
OLT4840E(config-if-range)#flow-control
OLT4840E(config-if-range)#exit
»» Configure a porta 2 com banda de transmissão de 1M
OLT4840E(config)#interface ethernet 0/2
OLT4840E(config-if-ethernet-0/2)#bandwidth egress 1024
»» Validação de resultados
(1) O Tester A permite o controle de fluxo; ------ Tester A recebe o frame de con-
trole de fluxo emitido pelo OLT e a taxa é ajustada automaticamente para 1M.
55
Sugerimos que o módulo óptico realize a detecção via interface RSSI ou método de
transferência AD.
Com base no SFF-8472, o OLT deve poder monitorar os parâmetros de temperatura
de operação, tensão de alimentação, corrente de polarização, potência transmitida
entre outras informações do módulo SFP.
Os requisitos para a função de detecção de parâmetros são os seguintes:
1. Temperatura de operação do módulo óptico: apresentada por 16 dígitos bi-
nários, e a unidade será 1/256 °C. Isso significa que o intervalo de valores é
de -128 °C a +128 °C, e a precisão da medição deve estar na faixa de ±3 ºC.
A temperatura deve estar em conformidade com as Tabelas 3.13 e Tabelas 3.14 no
SFF-8472 Draft 10.3 Dec. 2007;
2. Tensão de alimentação do módulo óptico: apresentada por um número inteiro de
16 dígitos, e a unidade será 100 MV. Isso significa que o intervalo de valores é de 0
a 6,55 V, e a precisão da medição deve estar na faixa de ±3%;
3. Corrente de polarização do transmissor óptico: apresentada por um número inteiro
de 16 dígitos e a unidade de 2 μA. Isso significa que o intervalo de valores é de 0 mA
a 131 mA, e a precisão da medição deve estar na faixa de ±10%;
4. Potência transmitida do módulo óptico: apresentada por um número inteiro de 16 dígitos
e a unidade de 0.1 uW. Isso significa que o intervalo de valores é de 0 mW a 6.5535 mW
(-40 dBm ~ +8.2 dBm ou mais), e a precisão da medição deve estar na faixa de ±3 dB;
5. Potência recebida do módulo óptico: refere-se à potência óptica média recebida pelo
OLT, apresentada por um número inteiro de 16 dígitos e a unidade de 0.1 uW. Isso
significa que o intervalo de valores é de 0 mW para 6.5535 mW (-40 dBm ~ +8.2 dBm
ou mais), e sua precisão da medição deve estar na faixa de ±1 dB quando estiver no
intervalo de valores de -30 dBm a 10 dBm.
Visualização dos parâmetros ópticos do OLT
Visualização dos parâmetros ópticos do OLT
Obrigatório /
Operação Comando
opcional
56
Exemplo de visualização dos parâmetros ópticos do OLT
»» Visualização dos parâmetros ópticos do OLT da porta PON 0/4:
OLT4840E(config)#int pon 0/4
OLT4840E(config-if-pon-0/4)#show opm diagnosis
OPM diagnosis information on PON:
PON [0/4] Temperature: 34. 0 C
PON [0/4] Voltage : 3.33 V
PON [0/4] Bias : 11.20 mA
PON [0/4] TX Power : 4.80 dBm ( 2.3896 mw)
PON [0/4] RX Power : -7.70 dBm ( 0.1725 mw)
4. Configuração de VLAN
4.1. Visão geral de VLAN
Virtual Local Area Network (VLAN) é a tecnologia que realiza a divisão por grupo
de trabalho virtual através da segmentação dos dispositivos LAN logicamente, sem
a necessidade da separação física. A IEEE emitiu o IEEE 802.1Q em 1999, que tinha
como objetivo padronizar este tipo solução.
Os gerentes de rede podem segmentar logicamente a LAN física em diferentes do-
mínios de transmissão através desta tecnologia. Cada VLAN contém um grupo de
estações de trabalho com as mesmas necessidades, elas não precisam pertencer ao
mesmo segmento físico. Além disso o tráfego de broadcast e o tráfego unicast dentro
de uma VLAN não serão encaminhados para outras. Portanto, esta solução é muito útil
no controle de tráfego, economizando investimento em dispositivos, simplificando o
gerenciamento de rede e melhorando a segurança. Utilizando VLAN é possível obter
os seguintes recursos:
»» Útil no controle de tráfego:
Na rede tradicional, os dados de broadcast serão enviados para todos os dispositi-
vos de rede diretamente, independentemente de ser necessário ou não, causando
um jitter (atrasos) da rede. No entanto, a VLAN suporta configurar o dispositivo de
comunicação separadamente, assim quando um broadcast é enviado, ele não será
transmitido para todos os equipamentos, mas apenas para aqueles pertencentes a
mesma VLAN de origem do broadcast.
57
»» Proporcionando maior segurança:
Um dispositivo só pode se comunicar com outro dispositivo caso ambos pertençam à
mesma VLAN. Por exemplo, deve estar sob o controle do roteador/switch se a VLAN
do dispositivo do Departamento de Pesquisa e Desenvolvimento precisa se conectar
à VLAN do Departamento de Produto. Caso eles não estejam na mesma VLAN, esses
dois departamentos não podem se comunicar diretamente de modo a melhorar a
segurança do sistema.
»» Reduzindo a carga de trabalho de configuração de rede:
A VLAN pode ser usada para agrupar hosts específicos. Quando a posição física de
um host esteja ao alcance da VLAN, você não precisa alterar sua configuração de
rede.
Configurações de VLAN
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Criar / deletar VLAN¹ [no] vlan vlan-list Obrigatório
Adicionar interface VLAN switchport {ethernet | pon} port-number Opcional
Especificar descrição da VLAN description string Opcional
¹ Para deletar uma VLAN que possua uma interface VLAN configurada, faz-se necessário, primeiramente deletar a
interface VLAN.
Obrigatório/
Operação Comando
opcional
Acesse o modo de configuração
interface {ethernet | pon} port-number -
de portas
Opcional, valor
Configuração da interface VLAN switchport mode {access|hybrid|trunk}
padrão é Hybrid
59
Atributos da VLAN em interfaces Hybrid
Operação Comando Obrigatório/opcional
Acesse o modo de configuração interface {ethernet | pon}
-
de portas port-number
Configuração da interface VLAN switchport mode hybrid Opcional, valor padrão é Hybrid
tagged significa que o pacote
Permitir a passagem de VLANs switchport hybrid {tagged | carrega uma tag VLAN.
específicas na porta Hybrid. untagged} vlan { vlan-list | all } Untagged significa que o pacote
não carrega uma tag VLAN.
Proibir a passagem de qualquer no switchport hybrid vlan
Opcional
VLAN na porta Hybrid vlan-list
61
Exemplo de configuração
Exemplo 1
»» Requisitos de rede.
Crie a VLAN 100, incluindo a portas 1 e 2, 1 é a porta de acesso e 2 é a porta trunk.
2
1 Tester B
Tester A
OLT
Mapa de esboço da interface padrão VLAN
»» Passos de configuração.
»» Crie a VLAN 100 e, em seguida, adicione a porta 1 e a porta 2:
OLT4840E (config) #vlan 100
OLT4840E (config-if-vlan) #switchport ethernet 0/1 ethernet 0/2
»» Modifique o modo VLAN da porta 1 e a porta 2 e, em seguida, configure o
PVID como 100.
OLT4840E (config) #interface ethernet 0/1
OLT4840E (config-if-ethernet-0/1) #switchport mode access
OLT4840E (config-if-ethernet-0/1) #switchport default vlan 100
OLT4840E (config-if-ethernet-0/1) #interface ethernet 0/2
OLT4840E (config-if-ethernet-0/2) #switchport mode trunk
OLT4840E (config-if-ethernet-0/2) #switchport default vlan 100
OLT4840E (config-if-ethernet-0/2) #exit
»» Validação de resultado:
»» Exibir as informações da porta 1 e da porta 2:
OLT4840E (config) #show interface brief ethernet 0/1 ethernet 0/2
Port Desc Link shutdn Speed Pri PVID Mode TagVlan UtVlan
e0/1 up false auto-f100 0 100 acc 100
e0/2 up false auto-f100 0 100 trk 100
Total entries: 2.
62
Exemplo 2
»» Requisitos de rede.
Configure a porta 1 para ser o modo access; configure a porta 2 para ser o modo Trunk.
2
1 Tester B
Tester A
OLT
»» Passos de configuração.
»» Configure a porta 1 para ser o modo Access:
OLT4840E (config) #interface ethernet 0/1
OLT4840E (config-if-ethernet-0/1) #switchport mode access
»» Configure a porta 2 para ser o modo Trunk:
OLT4840E (config-if-ethernet-0/1) #interface ethernet 0/2
OLT4840E (config-if-ethernet-0/2) #switchport mode trunk
OLT4840E (config-if-ethernet-0/2) #exit
»» Validação de resultado.
»» Exibir as informações da porta 1 e da porta 2:
OLT4840E (config) #show interface brief ethernet 0/1 ethernet 0/2
Port Desc Link shutdn Speed Pri PVID Mode TagVlan UtVlan
e0/1 up false auto-f100 0 100 acc 100
e0/2 up false auto-f100 0 100 trk 100
Total entries: 2
Exemplo 3
»» Requisitos de rede:
Crie VLAN 500, incluindo a porta 1 e 2; ambas são hybrid; configure a VLAN 500
com tag na saída.
63
1 2
Tester B
Tester A
OLT
Atributos de tags na saída híbrida
»» Passos de configuração.
»» Configure VLAN 500 e adicione a porta 1 e 2:
OLT4840E (config) #vlan 500
OLT4840E (config-if-vlan) #switchport ethernet 0/1 ethernet 0/2
OLT4840E (config-if-vlan) #show vlan 500
Show VLAN information
VLAN ID : 500
VLAN status : static
VLAN member : e0/1-e0/2.
Static tagged ports :
Static untagged Ports : e0/1-e0/2.
Dynamic tagged ports :
Total entries: 1 vlan.#
»» Configure VLAN 500 com tag na saída da porta 1 e 2:
OLT4840E(config-if-vlan)#interface range ethernet 0/1 ethernet 0/2
OLT4840E(config-if-range)#switchport hybrid tagged vlan 500
OLT4840E (config-if-range) #show vlan 500
show VLAN information
VLAN ID : 500
VLAN status : static
VLAN member : e0/1-e0/2.
Static tagged ports : e0/1-e0/2.
Static untagged Ports :
64
Dynamic tagged ports :
Total entries: 1 vlan.
»» Validação de resultados:
»» (1) o tester A encaminha o pacote desconhecido de VLAN = 500, tester B pode
receber o pacote de VLAN = 500 com tag.
Exemplo 4
»» Requisitos de rede.
Crie a VLAN 100 e 200, depois adicione a porta 1 e 2; ambas em modo Híbrido e
com as VLANs untagged.
2
1 Tester B
Tester A
OLT
Mapa de esboço de adicionar a porta a VLAN
»» Passos de configuração.
»» Crie a VLAN 100 e depois adicione a porta 1 e 2:
OLT4840E (config) #vlan 100
OLT4840E (config-if-vlan) #switchport ethernet 0/1 ethernet 0/2
OLT4840E (config-if-vlan) #show vlan 100
show VLAN information
VLAN ID : 100
VLAN status : static
VLAN member : e0/1-e0/2.
Static tagged ports :
Static untagged Ports : e0/1-e0/2.
Dynamic tagged ports :
»» Crie a VLAN 200 e depois adicione a porta 1 e 2:
OLT4840E (config) #vlan 200
65
OLT4840E (config-if-vlan) #exit
OLT4840E (config-if-range) #interface range ethernet 0/1 ethernet 0/2
OLT4840E(config-if-range)#switchport hybrid untagged vlan 200
OLT4840E (config-if-range) #show vlan 200
show VLAN information
VLAN ID : 200
VLAN status : static
VLAN member : e0/1-e0/2.
Static tagged ports :
Static untagged Ports : e0/1-e0/2.
Dynamic tagged ports :
Total entries: 1 vlan.
4.2. Configurações de QinQ
Visão geral do QinQ
No campo de tag de VLAN definido no IEEE 802.1Q, apenas 12 bits são usados para
sua ID, então um OLT pode suportar no máximo de 4.094 VLANs. Em aplicações reais,
no entanto, pode ser necessário um grande número de VLANs para isolar usuários, es-
pecialmente nas redes de área metropolitana (MANs) e 4.094 estão longe de satisfazer
esses requisitos. A tecnologia QinQ resolve este tipo de problema, ela permite que um
dispositivo suporte até 4.094 x 4.094 VLANs para satisfazer as necessidades de cada rede.
O diagrama a seguir mostra a estrutura dos quadros de Ethernet com uma e duas tags.
DA AS VLAN Tag Etype Data FCS
Single-tagged frame structure
66
O recurso QinQ da porta é uma técnica de VPN de camada 2 flexível, ela permite que
os quadros Ethernet viajem através da rede backbone do provedor (rede pública)
com tags VLAN duplas, isso é possível, pois o ponto de acesso encapsula a tag VLAN
externa (stag) em quadros Ethernet de redes de clientes (redes privadas).
A tag de VLAN interna pertence à rede de clientes e é transmitida como parte dos
dados, enquanto a externa é atribuída pelo provedor e os quadros são encaminha-
dos com base apenas na stag, com o endereço MAC de origem aprendido como
entrada de tabela de endereço MAC.
Cliente A
VLAN 1~10
Cliente A
VLAN 1~10
Provedor
VLAN 3 VLAN 3
Network
Internet
VLAN 4 VLAN 4
Cliente B Cliente B
VLAN 1~20 VLAN 1~20
Aplicação QinQ
Uma tag VLAN usa o campo de protocolo (TPID) para identificar o tipo da tag, seu
valor , conforme definido no IEEE 802.1Q, é 0×8100. O dispositivo pode identificar
se existe uma tag correspondente de acordo com o TPID, se este campo estiver cor-
retamente configurado, o pacote é considerado com tag VLAN.
67
O TPID em um cabeçalho Ethernet tem a mesma posição do campo do tipo de pro-
tocolo em uma moldura sem tag VLAN. Para evitar problemas no encaminhamento
e manipulação de pacotes na rede, você não pode definir o valor TPID para nenhum
dos valores na tabela a seguir.
»» Valores comuns de protocolos:
Protocolo Valor
ARP 0×0806
PUP 0×0200
RARP 0×8035
IP 0×0800
IPv6 0×86DD
PPPoE 0×8863/0×8864
MPLS 0×8847/0×8848
IPX/SPX 0×8137
IS-IS 0×8000
LACP 0×8809
802.1x 0×888E
GnLink 0×0765
GSTP 0×5524
VLAN 100
uplink
OLT
customer
Cenário QinQ
70
»» Passos de configuração:
»» Habilitar DTAG global:
OLT4840E (config) #dtag
»» Entre na porta 1, configure o modo de porta QINQ como cliente:
OLT4840E (config) #interface ethernet 0/1
OLT4840E (config-if-ethernet-0/1) #dtag mode customer
»» Configure a VLAN padrão da porta 1 para ser 100:
OLT4840E (config-if-ethernet-0/1) #switchport default vlan 100
»» Entre na porta 2, configure o modo de porta QINQ para ser uplink:
OLT4840E(config)#interface ethernet 0/2
OLT4840E(config-if-ethernet-0/2)#dtag mode uplink
»» Configure a porta 2 para ser a porta trunk:
OLT4840E(config-if-ethernet-0/2)#switchport mode trunk
»» Validação de resultados:
Não importa se o pacote da interface do cliente possui tag VLAN ou não, bem como
o valor da tag, o pacote adicionará ao cabeçalho a tag de VLAN 100 ao transmitir
a partir da porta de uplink.
Visão geral de QinQ dinâmico
A porta Uplink pode ser capaz de configurar a regra de entrada. Se a tag de pacote
estiver em conformidade com a regra de entrada, ela será tratada de acordo com
a regra correspondente, independentemente do valor do TPID externo configurado.
A porta customer-no-static não só verificará se o pacote contém tag ou não, mas
também julgará se está em conformidade com a regra de entrada. Se o pacote possui
tag e estiver em conformidade com a regra, ele será processado de acordo com o
QINQ dinâmico, ou será processado de acordo com a regra 802.1Q. O seguinte é o
processo detalhado:
1. Em primeiro lugar compara-se o pacote de entrada oriundo da interface de uplink
com o TPID externo configurado. Se o pacote for diferente do TPID externo, o
pacote será processado de acordo com a regra 802.1Q, adicionando uma tag de
acordo com a interface PVID;
2. Se o TPID do pacote é o mesmo que o TPID externo, mas o pacote VID não está
na faixa de inserção, o pacote será processado de acordo com a regra 802.1Q,
realizando transmissão ou o descartando;
3. Se o TPID do pacote é o mesmo que o TPID externo e o pacote VID está na faixa de
inserção, o pacote será processado de acordo com o QINQ dinâmico: 71
»» O pacote será processado de acordo com a regra de inserção independente-
mente VID do pacote existir ou não, adicionando uma tag externa de acordo
com a regra de inserção.
»» Se a VLAN externa que corresponde à regra de inserção não existe, ou a VLAN
existe, mas não inclui a porta de entrada, o pacote será descartado.
»» Se a VLAN externa que corresponde à regra de inserção existe, mas a VLAN não
inclui qualquer porta de entrada, o pacote será processado de acordo com a
regra de inserção em primeiro lugar, ou seja, este pacote aprenderá o endereço
MAC de acordo com a VLAN externa, mas o pacote será descartado mais tarde.
»» Configuração de QinQ Dinâmico:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal
configuração global
(Des)Habilitar o QinQ global [no]dtag Obrigatório
Acesse o modo de
interface {ethernet | pon} port-number
configuração de portas
Obrigatório,
cliente e
Modo QinQ na porta stag mode {customer-no-static|uplink} uplink formam
o QinQ
estático
Opcional,
Restaurar modo Padrão na
no dtag mode modo Nenhum
porta
por padrão
Configuração de regra de
dtag insert start-vlanend-vlan service-vlan Obrigatório
inserção
Remover regra de inserção no dtag insert {all | start-vlanend-vlan } Opcional
Visualizar configurações QinQ show dtag Opcional
Obs.: o QinQ estático e o QinQ dinâmico podem ser habilitados ao mesmo tempo. No
entanto, ao configurar a regra QinQ dinâmica, a regra QinQ dinâmica será determina-
da de acordo com a ID da VLAN externa do QinQ estático. Portanto, o modo de inter-
face QinQ dinâmico é recomendado para ser configurado como customer-no-static.
72
Exemplo de configuração de QinQ dinâmico
»» Requisitos de rede.
O OLT A e o OLT B atuam como a rede do operador para acessar o dispositivo.
O cliente A e o cliente B atuam quando o usuário termina a rede para acessar o
dispositivo. O dispositivo A se conecta com o dispositivo B via porta trunk, que
permite que VLAN 1000 e VLAN 2000 passem; use o equipamento de outros
fabricantes entre o OLT A e o OLT B, TPID = 0×9100.
Requer implementar os seguintes requisitos:
»» Depois de encaminhado pela rede VLAN 1000 do operador, o pacote do cliente
A VLAN 10-20 pode se comunicar com o pacote B VLAN 10-20 do cliente.
»» Depois de encaminhado pela rede VLAN 2000 do operador, o pacote do cliente
A VLAN 30 pode se comunicar com o pacote do cliente B VLAN 30.
O diagrama de rede é o seguinte:
OLT A OLT B
Internet
Network
2 2
1 VLAN 1000
1
VLAN 2000
TPID = 0×9100
Cliente A Cliente A
VLAN 10-20, 30 VLAN 10-20, 30
TPID = 0×8100 TPID = 0×8100
73
»» Passos de configuração:
»» Configuração do OLT A:
»» Crie a VLAN 1000 e a VLAN 2000 e, em seguida, adicione-os à porta de
usuário (porta 1) e à porta de serviço (porta 2).
OLT4840E(config)#vlan 1000,2000
OLT4840E(config-if-vlan)#switchport ethernet 0/1 ethernet 0/2
»» Configure a porta de serviço para ser porta trunk:
OLT4840E(config)#interface ethernet 0/2
OLT4840E(config-if-ethernet-0/2)#switchport mode trunk
»» Habilite a função QinQ global:
OLT4840E (config) #dtag
»» Configure a tag externa TPID para ser 0×9100:
OLT4840E (config) #dtag external-tpid 9100
»» Configure o modo QinQ da porta do usuário:
OLT4840E (config) #interface ethernet 0/1
OLT4840E (config-if-ethernet-0/1) # dtag mode customer-no-static
»» Configurar o serviço da porta no modo QinQ:
OLT4840E(config)#interface ethernet 0/2
OLT4840E(config-if-ethernet-0/2)#dtag mode uplink
»» Configure a regra de inserção de porta de usuário:
OLT4840E(config)#interface ethernet 0/1
OLT4840E(config-if-ethernet-0/1)#dtag insert 10 20 1000
Set SVLAN successfully.
OLT4840E(config-if-ethernet-0/1)#dtag insert 30 30 2000
Set SVLAN successfully.
A configuração do OLT B é a mesma que o OLT A, então é necessário repetir.
»» Validação de resultado:
Após os pacotes com VLAN 10-20 do cliente A passar pelo OLT A, os pacotes iram
carregar a tag de VLAN = 1000 e TPID = 0×9100.
Após os pacotes com VLAN 30 do cliente B passar pelo OLT A, o pacote traz a tag
externa = 2000 e TPID = 0×9100.
74
4.3. Função ajustável de VLAN tag TPID
Configuração do valor ajustável do TPID da tag VLAN
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional,
Configuração do valor da tag
dtag inner-tpid tpid 0×8100 por
TPID interno
padrão
Restaurar o valor padrão do
no dtag inner-tpid Opcional
TPID interno
TPID externo
apenas pode
Acessar o modo de ser configurar
interface {etherne|pon} port-number
configuração de interface no modo de
configuração
de porta
Opcional,
Configuração do valor da tag
dtag outer-tpid tpid 0×8100 por
TPID externo
padrão
Restaurar o valor padrão do
no dtag outer-tpid Opcional
TPID externo
Em qualquer
Visualizar valores do TPID show dtag
modo
Obs.: » Quando o pacote de tag dupla se comunica com a CPU, a informação in-
terna do pacote VLAN TPID deve estar de acordo com a configuração do
equipamento. Caso contrário, não é possível realizar nenhuma comunicação.
»» Quando encaminhado a partir da interface de uplink, o valor de TPID do
pacote estará em acordo com o valor externo de saída do TPID.
Exemplo de configuração de valor ajustavel de TPID
»» Modifique o tag TPID interno para 0×9100:
OLT4840E(config)#dtag inner-tpid 9100
»» Modifique o tag TPID interno para 0×9200:
OLT4840E(config)#dtag outer-tpid 9200
»» Exiba a informação do TPID:
OLT4840E(config)#show dtag
Current dtag status: enabled
75
inner-tpid : 0x9100
outer-tpid : 0x9200
cpu inner-tag : vid 1 priority 0
interface : dtag-mode
4.4. Configuração de GVRP
Visão geral de GVRP
GVRP a é abreviatura do GARP VLAN Registration Protocol. É um tipo de aplicação
do GARP, com base no seu mecanismo de trabalho para manter informações de
registro dinâmico de VLAN do OLT e transferi-lo para outro OLT.
OLTs que suportam o GVRP podem receber informações de registro de VLAN de
outros OLTs e atualizar dinamicamente suas informações locais, incluindo: membros
atuais de VLAN e por qual interface pode alcançar os membros de cada uma delas.
Esta troca de informações é utilizada para tornar as informações de registro de VLAN
consistentes. Nelas, são enviadas as informações de registro estático da configuração
manual local e de registro dinâmico de outros OLTs.
Habilitando o GVRP
O GVRP possui dois switches, um está no modo de configuração global e o outro
está no modo de configuração da interface. Se você quiser ativar o GVRP, esses dois
switches devem estar no estado habilitado.
Por padrão, ambos GVRP global e GVRP de interface estão desativados. É importante
notar que, o GVRP só pode ser habilitado na porta trunk.
»» Habilitando o GVRP:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Habilitar a configuração global
gvrp Obrigatório
de GVRP
Desabilitar a configuração
no gvrp Obrigatório
global de GVRP
Acessar o modo de
interface ethernet interface-num -
configuração de port
76
Obrigatório,
utilize o
comando no
Habilitar o GVRP [no] gvrp
gvrp para
desabilitar o
GVRP
77
»» GVRP Visualização e depuração:
Obrigatório/
Operação Comando
opcional
Visualização do estado do
show gvrp
GVRP (habilitado, desabilitado)
Comandos
Visualização do estado da show gvrp interface [ethernet device/
executáveis
interface GVRP slot/port]
em qualquer
Visualização das VLANs que modo
precisam de GVRP para serem show garp permit vlan
transmitidas
82
show VLAN information
VLAN ID : 7
VLAN status : dynamic
VLAN member : e0/1
Static tagged ports :
Static untagged Ports :
Dynamic tagged ports : e0/1
83
Configuração da tradução de VLAN
»» Configuração de tradução de VLAN:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração da tabela de
vlan-translate ingress table start-vid
tradução de VLAN para a Obrigatório
end-vid new-vid
entrada
Remover tabela de tradução de no vlan-translate ingress table [start-vid
Opcional
VLAN para a saída end-vid]
Configuração da tabela de vlan-translate egress table start-vid
Obrigatório
tradução de VLAN para a saída end-vid new-vid
Remover tabela de tradução de no vlan-translate egress table [start-vid
Opcional
VLAN para a saída end-vid]
Acesse o modo de
interface {ethernet | pon} port-number -
configuração de interface
Obrigatório,
a função de
(Des)Habilite a função de
tradução pode
tradução para a entrada de [no]vlan-translate ingress
ser habilitada
pacotes
tanto a entrada
quanto a saída
Obrigatório,
a função de
(Des)Habilite a função de
tradução pode
tradução para a saída de [no]vlan-translate egress
ser habilitada
pacotes
tanto a entrada
quanto a saída
Visualização da tabela de show vlan-translate ingress table
Opcional
tradução de entrada [start-vid end-vid]
Visualização da tabela de show vlan-translate egress table [start-
Opcional
tradução de saída vid end-vid]
Visualização do estado da
show vlan-translate interface
função de tradução (habilitado Opcional
[{ethernet | pon} port-number]
ou desabilitado
84
Obs.: a tradução da VLAN pode ser dividida em tradução de entrada e tradução
de saída. Ao configurar a tabela VLAN-Translate de entrada, você deve habilitar o
VLAN-Translate ingress e adicionar a New_VLAN na entrada, mas não é necessário
adicionar a OLD_VLAN; ao configurar a tabela VLAN-Translate de saída, você deve
habilitar o VLAN-Translate egress e adicionar a OLD_VLAN na entrada, mas não há
necessidade de adicionar a New-VLAN.
Configuração de VLAN-Swap
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface {ethernet | pon} port-number -
configuração de interface
Configuração da tabela de
vlan-swap start-vid end-vid swap-vid Obrigatório
tradução de VLAN
Remover tabela de tradução
no vlan-swap [all | start-vid end-vid] Opcional
de VLAN
Visualização da tabela de show vlan-swap interface [{ethernet |
Opcional
tradução pon} port-number]
VLAN1
»» Configuração do dispositivo 1:
»» Crie a VLAN e adicione a porta na VLAN correspondente:
OLT4840E(config)#vlan 1,2,3,101,201,301,102,202,302
OLT4840E(config)#interface ethernet 0/1
OLT4840E(config-if-ethernet-0/1)#switchport hybrid tagged vlan 101,201,301
OLT4840E(config-if-ethernet-0/1)#interface ethernet 0/2
OLT4840E(config-if-ethernet-0/2)#switchport hybrid tagged vlan 102,202,302
OLT4840E(config-if-ethernet-0/2)#interface ethernet 0/4
OLT4840E(config-if-ethernet-0/4)#switchport hybrid tagged vlan 101,201,301,
102,202,302
»» Configure a tabela de vlan swap para as portas e0/1 e e0/2:
OLT4840E(config)#interface ethernet 0/1
OLT4840E(config-if-ethernet-0/1)#vlan-swap 1 1 101
OLT4840E(config-if-ethernet-0/1)#vlan-swap 2 2 201
OLT4840E(config-if-ethernet-0/1)#vlan-swap 3 3 301
OLT4840E(config)#interface ethernet 0/2
OLT4840E(config-if-ethernet-0/2)#vlan-swap 1 1 102
OLT4840E(config-if-ethernet-0/2)#vlan-swap 2 2 202
86
OLT4840E(config-if-ethernet-0/2)#vlan-swap 3 3 302
»» Configuração do dispositivo 2:
»» Crie a tradução de VLAN (OLD_VLAN e New_VLAN) que inclua a portas de
uplink e downlink:
OLT4840E(config)#vlan 101,201,301,102,202,302,501,502,503
OLT4840E(config)#interface ethernet 0/4
OLT4840E(config-if-ethernet-0/4)#switchport hybrid tagged vlan
101,102,201,202,301,302
OLT4840E(config-if-ethernet-0/4)#interface ethernet 0/8
OLT4840E(config-if-ethernet-0/8)#switchport hybrid tagged vlan 501,502,503
»» Configure a tabela de tradução de saída no modo de configuração global;
habilite o VLAN-Translate na saída:
OLT4840E(config)#vlan-translate egress table 101 102 501
OLT4840E(config)#vlan-translate egress table 201 202 502
OLT4840E(config)#vlan-translate egress table 301 302 503
OLT4840E(config)#interface ethernet 0/8
OLT4840E(config-if-ethernet-0/8)#vlan-translate egress
»» Validação de resultado:
»» Capture os pacotes de saída no dispositivo 1 (e0/4), você pode capturar o
pacote com as tags VLAN 101, VLAN 201, VLAN 301, VLAN 202, VLAN 302.
»» Capture os pacotes de saída no dispositivo 2 (e0/8), você pode capturar o
pacote com as tags VLAN 501, VLAN 502, VLAN 503.
87
Na VLAN baseada em MAC, a tag da VLAN é adicionada ao pacote de acordo com o
seu endereço MAC de origem. Isso geralmente é combinado com outras tecnologias
de segurança (como 802.1X) para alcançar uma maior segurança do terminal, mes-
mo com um acesso flexível.
Configuração de VLAN baseada em MAC
»» Requisitos de rede:
Conforme exibido a seguir, as portas 1 do dispositivo 1 e dispositivo 2 conectam
duas salas de reunião, respectivamente; PC1 e PC2 são os laptops que serão usados
durante a reunião.
PC1 e PC2 pertencem respectivamente a dois departamentos, e esses dois departa-
mentos são isolados pela VLAN 100 e pela VLAN 200. O requisito é que, indepen-
dentemente da sala de reunião em que estes dois laptops sejam utilizados, eles só
podem acessar os servidores de seus próprios departamentos, que são o servidor 1 e
o servidor 2. O endereço MAC do PC1 é 00:00:00:11:22 e o endereço Mac do PC2
é 00:00:00:00:11:33.
Serviço 1 Serviço 2
Dispositivo 3
2 1
3 4
2 2
Dispositivo 1 Dispositivo 2
1 1
PC1 PC2
90
Configuração de VLAN baseado em protocolo (método um)
»» Configuração de VLAN baseado protocolo:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Obrigatório,
vlan-protocol table index index ethertype não há
Configuração de modelo de
etype-id protocol nenhum
protocolo
{ethernetv2|non-snap-llc|snap-llc} protocolo por
padrão
Remover modelo de protocolo no vlan-protocol table [index index] Opcional
Acesse o modo de
interface {ethernet | pon} port-number Obrigatório
configuração de interface
Configuração para associar
o modelo de protocolo e
vlan-protocol table index index vlan v-id Obrigatório
configuração da VLAN por
protocolo
Desassociar o modelo de
no vlan-protocol table [index index] Opcional
protocolo
show vlan-protocol {table | interface
Visualização da configuração
[{ethernet | pon} Opcional
do modelo de protocolo
port-number]}
91
Configuração de VLAN baseado em protocolo (método dois)
»» Configuração de VLAN baseado protocolo:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
vlan-protocol frametype {8023-llc-
Configuração de modelo de snap|8023-llc|ethernet2}
Obrigatório
protocolo ethertype interface {ethernet | pon} port-
number vlan-id
no vlan-protocol [frametype {8023-llc-
snap|8023-llc|ethernet2}
Remover modelo de protocolo Opcional
ethertype interface {ethernet | pon}
port-number]
show vlan-protocol [frametype
Visualização da configuração {8023-llc-snap|8023-llc|ethernet2}
Opcional
do modelo de protocolo ethertype interface {ethernet | pon} port-
number vlan-id]
3 5
A B
Dispositivo A
Diagrama de rede para VLAN baseada em protocolo
92
»» Passos de configuração:
»» Crie a VLAN 10 e o adicione a todas as portas
OLT4840E(config)#vlan 10
OLT4840E(config-if-vlan)#switchport all
Add VLAN port successfully.
»» Configure a porta 5 para inserir a tag VLAN 10 em sua saída:
OLT4840E(config)#interface ethernet 0/5
OLT4840E(config-if-ethernet-0/5)#switchport hybrid tagged vlan 10
OLT4840E(config-if-ethernet-0/5)#exit
»» Crie o modelo de protocolo, tipo de protocolo 0×0800 com encapsulamento
ethernetv2:
OLT4840E(config)#vlan-protocol table index 1 ethertype 0800 protocol ethernetv2
»» Configurar a entrada para habilitar a função de protocolo VLAN em primeiro lugar. Em
seguida, vincule o índice do modelo de protocolo e configure o protocolo VLAN 10.
OLT4840E(config)#interface ethernet 0/3
OLT4840E(config-if-ethernet-0/3)#vlan-protocol
OLT4840E(config-if-ethernet-0/3)#vlan-protocol table index 1 vlan 10
»» Visualização de resultados e validação:
OLT4840E(config)#show vlan-protocol table
index ethertype protocol
1 0x0800 EthernetV2
OLT4840E(config)#show vlan-protocol interface ethernet 0/3
e0/3: : enable
global protocol-vlan table index 1 vlan 10
Resultado: todo o fluxo de dados IP ethernetv2 que entra da porta 3 deve adicionar
a tag VLAN 10 antes de transmitir.
93
4.8. VLAN baseado em sub-rede IP
Visão geral de VLAN baseada em sub-rede IP
O VLAN baseado em sub-rede IP é dividido de acordo com o endereço IP da fonte
do pacote e a máscara de sub-rede. Depois que o dispositivo recebeu pacotes da
interface, ele confirmará os pacotes pertencentes à VLAN e em seguida dividirá esses
pacotes automaticamente entre VLANs específicas para transmitir.
Esse recurso é usado principalmente para o endereço de IP ou a transmissão de
mensagens de segmento de rede na VLAN específica.
Configuração de VLAN baseada em sub-rede IP
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
(Des)Habilite a VLAN baseada
[no]vlan-subnet precede Obrigatório
em sub-rede IP
Configuração da tabela de ip-subnet-vlan ipaddress mask vlan-id
Obrigatório
VLAN baseada em sub-rede IP priority
Pode ser
Visualização da tabela de executada
show ip-subnet-vlan [ipaddress| mask]
sub-rede em qualquer
modo
Exemplo da configuração
»» Requisitos de rede:
Uma rede empresarial aloca cada sub-rede IP de acordo com o tipo de serviço.
O requisito é que diferentes usuários de sub-rede adotem diferentes caminhos
de transmissão para acessar o servidor upstream.
Como exibido a seguir:
94
Serviço 1 Serviço 2
Dispositivo 3
2 1
3 4
2 2
Dispositivo 1 Dispositivo 2
1 1
PC1 PC2
95
OLT4840E(config)#vlan-subnet precede
OLT4840E(config)#ip-subnet-vlan 192.168.1.1 255.255.255.0 100 0
OLT4840E(config)#ip-subnet-vlan 192.168.1.2 255.255.255.0 200 0
OLT4840E(config)#ip-subnet-vlan 192.168.1.3 255.255.255.0 300 0
OLT4840E(config)#
Obs.: garanta que a interface de uplink possua as VLANs 100, 200, 300 com tag.
»» Validação de resultado:
OLT4840E(config)#show run garp
![GARP]
vlan-subnet precede
ip-subnet-vlan 192.168.1.1 255.255.255.0 100 0
4.9. Configuração de VLAN-Trunking
Visão geral de VLAN-Trunking
VLAN-Trunking é usado para transmitir de forma transparente mensagens desconhe-
cidas. Explicação:
»» Cada OLT configura apenas um conjunto de VLAN-Trunking.
»» Cada VLAN-Trunking inclui duas interfaces: uplink e downlink.
»» Transmite a mensagem desconhecida e não realiza nenhuma alteração.
»» Não aprende o endereço MAC da mensagem desconhecida.
»» O mecanismo da mensagem conhecida é o mesmo que a VLAN 802.1Q.
Configuração de VLAN-Trunking
»» Configuração de VLAN-Trunking:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
vlan-trunking {ethernet | pon} port-
Configuração da table de
number{ethernet | pon} Obrigatório
VLAN-Trunking
port-number
Desabilite o VLAN-Trunking no vlan-trunking Opcional
Visualização da tabela de
show vlan-trunking Opcional
VLAN-Trunking
96
Exemplo de configuração de VLAN-Trunking
»» Requisitos de rede:
As configurações padrão do equipamento exigem o fluxo de serviço de qualquer
porta (o pacote não precisa ter tag) sendo encaminhado com sucesso.
»» Passos de configuração:
Habilite o VLAN-Trunking, e depois especifique a porta e então especifique a porta
de uplink do pacote que entra na interface 0/4 seja encaminhado para interface 0/8.
OLT4840E(config)#vlan-trunking ethernet 0/4 ethernet 0/8
Create VLAN Trunking successfully.
OLT4840E(config)#show vlan 100
The VLAN does not exist.
»» Validação de resultado:
O pacote não carrega VLAN na interface 0/4, e o pacote pode sair na interface 0/8,
ou seja, o equipamento pode ser capaz de transmitir pacote sem VLAN.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
mac-address-table { static | permanent
Configurar entrada manual | dynamic } H:H:H:H:H:H interface Obrigatório
Ethernet interface-num vlan vlan-id
show mac-address-table {
static| permanent| dynamic|
Visualização da tabela MAC Opcional
blackhole|vlan|interface {ethernet | pon}
port-number }
»» Stactic: endereço MAC estático, não será envelhecido.
»» Permanent: endereço MAC permanente. Será descartado da tabela após um
certo período de tempo. Se você salvar as configurações, as entradas continuarão
a existir depois que o dispositivo for desligado.
»» Dynamic: endereço MAC dinâmico e será descartado da tabela após um certo
período de tempo.
98
Adicionar endereço MAC blackholes
É possível adicionar MACs a blackhole, ou seja, quando o endereço de origem ou o
endereço de destino do pacote é um endereço que foi cadastrado, o OLT descarta
o pacote.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
mac-address-table blackhole H:H:H:H:H:H
- Obrigatório
vlan vlan-id
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Valor padrão
é IVL. Para a
modificação
mac-address-table learning mode {ivl
Modificar o tipo de tabela MAC ocorrer, é
| svl}
necessário
reiniciar o
equipamento.
99
Habilitar/desabilitar o aprendizado da tabela de endereços MAC
Você pode configurar se o dispositivo aprende os endereços MAC dinamicamente ou não.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
(Des)Habilitar o aprendizado Habilitado por
[no] mac-address-table learning
da tabela MAC padrão
Acesse o modo de
interface {ethernet | pon} port-number -
configuração de interface
(Des)Habilitar o aprendizado
(no) mac-address-table learning Obrigatório
da tabela MAC
Visualização do estado de
show mac-address learning [ interface [
aprendizado da tabela MAC Opcional
interface-num ] ]
(habilitado/desabilitado)
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Ativar limitação de quantidade Funciona
de aprendizado na tabela de mac-address-table max-mac-count apenas em
endereços MAC do grupo de integer channel-group id grupos de
agregação agregação
Desativar limitação de
quantidade de aprendizado na no mac-address-table max-mac-count
Opcional
tabela de endereços MAC do integer channel-group id
grupo de agregação
100
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface {ethernet | pon} port-number -
configuração de interface
Ativar limitação de quantidade Funciona para
mac-address-table max-mac-count
de aprendizado na tabela de apenas uma
integer
endereço MAC porta
Desativar limitação de
quantidade de aprendizado na no mac-address-table max-mac-count Opcional
tabela de endereço MAC
Visualizar o número máximo de show mac-address max-mac-count [
Opcional
endereços na tabela interface [ interface-num ] ]
101
OLT4840E(config)#interface ethernet 0/1
OLT4840E(config-if-ethernet-0/1)#local-switch
Setting successfully! local-switch is enable
OLT4840E(config-if-ethernet-0/1)#no local-switch
Setting successfully! local-switch is disable
5.3. Função SLF-control
Por padrão o OLT encaminha pacotes de origem desconhecidas sem precisar ser ge-
renciado pelo administrador da rede de acordo com a política de segurança. Você
pode desativar a função de encaminhamento de pacotes de origem desconhecida
usando um comando especificado, nesse caso, quando o dispositivo recebe um pa-
cote, ele verifica se o MAC de origem existe na tabela MAC ou não. Se não existir, ele
descarta o pacote. Assim ele só pode encaminhar o pacote cujo endereço de origem
é conhecido.
Configuração do SLF-control
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface {ethernet | pon} port-number Obrigatório
configuração de interface
102
Obrigatório/
Operação Comando
opcional
Desabilitar a função de
encaminhar pacotes com [no] src_dlf_forward Obrigatório
endereço MAC desconhecido
Habilitar a função de
encaminhar pacotes com src_dlf_forward Obrigatório
endereço MAC desconhecido
show src_dlf_forward interface
Visualização da configuração Opcional
[ethernet port-number]
Esta função geralmente é combinada com a função de aprendizagem ou limite en-
dereço MAC da porta.
Exemplo de configuração de SLF-control
»» Requisitos de rede:
Desabilite a função de encaminhamento de pacotes com origem desconhecida na
porta 0/9.
»» Passos de configuração:
OLT4840E(config)#show src_dlf_forward interface ethernet 0/9
Port src_dlf_forward status
0/9 enable
OLT4840E(config)#interface ethernet 0/9
OLT4840E(config-if-ethernet-0/9)#no src_dlf_forward
OLT4840E(config-if-ethernet-0/9)#no mac-address-table learning
OLT4840E(config-if-ethernet-0/9)#show src_dlf_forward interface ethernet 0/9
Port src_dlf_forward status
0/9 disable
103
Configuração de DLF-control
»» Se habilitado, com base na configuração global este comando entrará em vigor
em pacotes de saída de todas as portas.
»» Se for habilitado, com base na configuração da interface este comando entrará em
vigor nos pacotes de saída da porta em questão.
Por padrão, pacotes desconhecidos podem ser encaminhados.
»» Configuração de encaminhamento DLF:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Habilitar a função de Opcional,
encaminhamento de pacotes [no]dlf-forward unicast habilitado por
unicast desconhecidos padrão
Habilitar a função de Opcional,
encaminhamento de pacotes [no]dlf-forward multicast habilitado por
multicast desconhecidos padrão
Acesse o modo de
{ethernet | pon} port-number -
configuração de interface
Habilitar a função de Opcional,
encaminhamento de pacotes [no]dlf-forward unicast habilitado por
unicast desconhecidos padrão
Habilitar a função de Opcional,
encaminhamento de pacotes [no]dlf-forward multicast habilitado por
multicast desconhecidos padrão
Visualização de configuração show dlf-forward interface [ {ethernet |
Opcional
do encaminhamento DLF pon} port-number]
104
Exemplo de configuração de DLF-control
»» Requisitos de rede:
Configure a saída da porta 2 para não encaminhar pacotes de unicast desconhecidos.
2
1 Tester B
Tester A
OLT
105
6. Configuração de multicast
6.1. Configuração de IGMP-Snooping
Visão geral de IGMP-Snooping
IGMP (Internet Group Management Protocol) é uma parte do protocolo IP usado
para suportar e gerenciar o multicast entre host e roteador multicast. Esta função
permite a transferência de dados para uma coleção de hosts formada pelo grupo
multicast. A relação do membro do grupo é dinâmica e o host pode entrar ou sair
dele para reduzir a carga da rede ao mínimo, deixanto a transmissão de dados na
rede mais efetiva.
O IGMP-Snooping é usado para monitorar o pacote IGMP entre host e roteadores.
Ele pode criar, manter e excluir dinamicamente uma tabela de endereço multicast
de acordo com a entrada e saída dos membros do grupo. Assim, o quadro multicast
pode transferir o pacote de acordo com a sua própria tabela de endereço multicast.
Habilitar IGMP-Snooping
»» Configuração do IGMP-Snooping:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Habilitar o IGMP-Snooping imgp-snooping Obrigatório
Desligar o IGMP-Snooping no igmp-snooping Opcional
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional,
Configurar o tempo de por padrão
envelhecimento dos membros imgp-snooping host-aging-time time o tempo de
multicast dinâmicos envelhecimento
é de 300s
106
Obrigatório/
Operação Comando
opcional
Desativar o envelhecimento
dos membros multicast no igmp-snooping host-aging-time Opcional
dinâmicos
Opcional.
Configure
o tempo
máximo
de espera
para que as
portas do
Configuração do tempo
grupo sejam
máximo de resposta do IGMP- igmp-snooping max-response-time time
removidas
Snooping
depois de
receber
mensagens
de saída. A
configuração
padrão é 10
segundos.
Desabilitar o tempo máximo de
no igmp-snooping max-response-time Opcional
resposta do IGMP-Snooping
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface {ethernet | pon} port-number
configuração de interface
107
Obrigatório/
Operação Comando
opcional
Opcional, por
padrão esta
Configuração do fast-leave igmp-snooping fast-leave
função está
desabilitada
Remover a configuração de
no igmp-snooping fast-leave Opcional
fast-leave
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface {ethernet | pon} port-number -
configuração de interface
Configuração de número
máximo de aprendizagem de igmp-snooping group-limit number Opcional
grupos multicast
Desabilitar a configuração
de número máximo de
no igmp-snooping group-limit Opcional
aprendizagem de grupos
multicast
Configure a ação quando a
igmp-snooping group-limit action
porta estiver cheia de grupos Opcional
{replace | drop}
multicast
Obs.: o limite de grupo de IGMP-Snooping não se refere apenas ao número máximo
de multicast que a porta pode aprender, mas também refere-se ao número máximo
de multicast que a máquina pode aprender.
Configuração da estratégia de aprendizado de multicast do IGMP-Snooping
Depois que uma estratégia de aprendizagem multicast for configurada, o administra-
dor pode controlar o roteador para aprender apenas um grupo multicast específico.
Se um grupo for adicionado à blacklist (lista negra), o roteador não aprenderá o
grupo multicast; se um grupo multicast for adicionado à whitelist (lista branca), o
roteador irá aprender este grupo multicast.
108
»» Configuração da estratégia de aprendizado de multicast do IGMP-Snooping:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional,
por padrão,
a regra de
aprendizagem
Configuração da regra padrão
igmp-snooping { permit | deny } { group de um grupo
de grupos multicast fora da
all | vlan vid } multicast
blacklist ou whitelist
é aprender
todos os
grupos
multicast
Acesse o modo de
interface {ethernet | pon} port-number -
configuração de interface
Opcional,
Configuração de blacklist e por padrão,
whitelist dos grupos multicast nenhum grupo
igmp-snooping { permit | deny } group
multicast será
MAC vlan vid
adicionado a
blacklist ou
whitelist
109
»» Configuração do IGMP-Snooping querier:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Habilitar o IGMP-Snooping
igmp-snooping querier Obrigatório
querier
Desabilitar o IGMP-Snooping
no igmp-snooping querier Opcional
querier
Opcional,
Configuração da versão da
igmp-snooping querier version id Versão2 por
consulta
padrão
Configuração das VLANs para
igmp-snooping querier-vlan vid Opcional
pacotes de consulta gerais
Remover configuração das
VLANs para pacotes de no igmp-snooping querier-vlan vid Opcional
consulta gerais
Configuração do intervalo de
envio de pacotes de consulta igmp-snooping query-interval interval Opcional
geral
Remover o intervalo de envio
no igmp-snooping query-interval Opcional
de pacotes de consulta geral
Configuração do tempo de
resposta máximo para consulta igmp-snooping query-max-respond time Opcional
gerais
Desabilitar o tempo de
resposta máximo para consulta no igmp-snooping query-max-respond Opcional
gerais
Configuração do IP de origem igmp-snooping general-query source-ip
Opcional
para envio de consulta geral ip
Desabilitar o IP de origem para no igmp-snooping general-query
Opcional
envio de consulta geral source-ip
110
»» Configuração de VLAN multicast:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface {ethernet | pon} port-number
configuração de interface
Configuração da VLAN
igmp-snooping multicast vlan vid Opcional
multicast na porta
Desabilitar a VLAN multicast
no igmp-snooping multicast vlan Opcional
na porta
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface {ethernet | pon} port-number
configuração de interface
Configure a porta para
armazenar o endereço MAC igmp-snooping record-host Opcional
do host
Desabilitar a porta para
armazenar o endereço MAC no igmp-snooping record-host Opcional
do host
111
2. Depois de receber uma consulta geral, o OLT encapsula todos os pacotes no paco-
te de relatório para a porta mroute e em seguida, encaminha esta consulta para
todos os clientes. Ao receber uma consulta específica, o OLT encapsula o grupo
especificado em um pacote de relatório e o envia para a porta Mroute. Se o grupo
especificado não estiver na tabela do OLT, ele descartará diretamente a consulta;
3. Depois de receber um relatório de saída, se houver outros membros no grupo, o
OLT apaga o membro recebido, e não envia um relatório de saída para a porta de
comando; se for o último membro, basta substituir o MAC da fonte com o MAC
da OLT e depois enviá-lo para a porta Mroute.
»» Configuração da supressão de relatórios multicast:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração da supressão de
igmp-snooping report-suppression Opcional
relatórios multicast
Desabilitar a supressão de
no igmp-snooping report-suppression Opcional
relatórios multicast
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface {ethernet | pon} port-number
configuração de interface
Configure a porta para
descartar pacotes de consulta/ igmp-snooping drop {query|report} Opcional
relatório
Configure a porta para receber
no igmp-snooping drop {query|report} Opcional
pacotes de consulta/relatório
112
Configuração da função de pré-visualização multicast
IGMP-Snooping fornece a função de pré-visualização multicast. Você pode configurar o
canal, duração, intervalo, duração da reposição e os tempos de pré-visualização permitidos.
»» Configuração da função de pré-visualização multicast:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração da função de
igmp-snooping preview Opcional
pré-visualização multicast
Desabilitar a função de pré-
no igmp-snooping preview Opcional
visualização multicast
Configuração do canal de pré- igmp-snooping preview group-ip IP vlan
Opcional
visualização multicast vid interface ethernet interface-num
Desabilitar o canal de pré- no igmp-snooping preview group-ip IP
Opcional
visualização multicast vlan vid interface ethernet interface-num
Configuração da duração da
pré-visualização, o intervalo de igmp-snooping preview { time-once
pré-visualização, a duração da time-once time-interval time-interval
Opcional
reposição da pré-visualização e time-reset time-reset permit-times
os tempos de pré-visualização preview-times }
permitidos
Desabilitar a duração da
pré-visualização única, o no igmp-snooping preview { time-once
intervalo de pré-visualização, time-once time-interval time-interval
Opcional
a duração da reposição da pré- time-reset time-reset permit-times
visualização e os tempos de preview-times }
pré-visualização permitidos
113
Quando uma porta faz referência ao perfil de permissão, ela só pode aprender o gru-
po de multicast definido pelo perfil. Quando uma porta faz referência a um perfil de
negação, ela pode aprender todos os grupos de multicast, exceto a definição do perfil.
»» Configuração do perfil de Blacklist e Whitelist:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Crie um perfil e acesse o modo
igmp-snooping profile profile-id -
de configuração de perfil
Desabilitar a configuração
no igmp-snooping profile profile-id Opcional
de perfil
Configuração do tipo de perfil profile limit { permit | deny } Opcional
Configuração do intervalo do
ip range start-ip end-ip [ vlan vlan-id ] Opcional
perfil IP
Configuração do intervalo do mac range start-mac end-mac [ vlan
Opcional
perfil MAC vlan-id ]
Acesse o modo de
interface ethernet interface-num -
configuração de interface
Configuração de perfil de
igmp-snooping profile refer profile-list Opcional
referência da porta
Desabilitar o perfil de
no igmp-snooping profile refer profile-list Opcional
referência da porta
114
»» Visualização das configurações de IGMP-Snooping:
Obrigatório/
Operação Comando
opcional
Visualização resumida da
show multicast
tabela multicast
115
Exemplo de configuração
»» Requisitos de rede:
Multicast
router
Porta 4
OLT
Porta 1
Porta 2 Porta 3
117
IGMP port list : e0/3.
Dynamic port list :
Total entries: 3 .
OLT4840E(config)#show igmp-snooping router-dynamic
Port VID Age Type
e0/4 2 284 { STATIC }
e0/4 3 284 { STATIC }s
e0/4 4 284 { STATIC }
Total Record: 3
Quando o roteador de origem de multicast envia tráfego multicast de 224.0.1.1 ~
224.0.1.3, o OLT distribuirá o fluxo de tráfego correspondente para Host-A, Host-B
e Host-C.
6.2. Configuração de MLD-Snooping
Visão geral de MLD-Snooping
MLD (Multicast Listener Discovery) faz parte do protocolo IPv6, usando para suportar
e gerenciar o multicast IP entre o host e o roteador multicast. O multicast IP permite
que os datagramas sejam transmitidos para um conjunto de hosts que compõem um
grupo multicast. As relações entre os membros do grupo multicast são dinâmicas, ou
seja, os hosts podem entrar ou sair deles para minimizar a carga da rede, de modo a
obter a efetiva transmissão de dados.
O snooping MLD é usado para monitorar os pacotes MLD entre o host e o roteador.
Ele dinamicamente cria, mantém e exclui a tabela de endereços multicast com base
na entrada e saída dos membros do grupo multicast. Nesse caso, os quadros multi-
cast são encaminhados de acordo com a tabela de endereço multicast.
Habilitar o MLD-Snooping
»» Habilitar o MLD-Snooping:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Habilitar o MLD-Snooping mld-snooping Obrigatório
118
Configuração do timer do MLD-Snooping
»» Configuração do timer do MLD-Snooping:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional,
por padrão,
o tempo de
Configuração do tempo de envelhecimento
envelhecimento dos membros mld-snooping host-aging-time time das portas
dinâmicos do membro
multicast
dinâmico é de
300 segundos
Opcional,
por padrão,
Configure o tempo máximo
o tempo de
de resposta dos pacotes de mld-snooping max-response-time time
resposta
licença
máximo é de
10 segundos
Configuração de fast-leave
Normalmente, ao receber uma mensagem de MLD leave, MLD-Snooping não excluirá
a porta diretamente do grupo de multicast. Em vez disso, aguarda um período de
tempo para executar esta ação.
Após o fast-leave ser ativado, o MLD-Snooping remove a porta do grupo multicast
diretamente quando recebido o pacote de licença MLD. Quando há apenas um usuá-
rio sob a porta, o fast-leave pode economizar a largura de banda.
119
»» Configuração do fast-leave:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet interface-num -
configuração de interface
Opcional,
por padrão o
Configuração do fast-leave mld-snooping fast-leave
fast-leave está
desabilitado
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet interface-num -
configuração de interface
Configuração do número
mld-snooping group-limit number Opcional
máximo de grupos multicast
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
120
Obrigatório/
Operação Comando
opcional
Opcional,
por padrão,
a regra de
aprendizagem
de um grupo
Configure a regra de
multicast que
aprendizado padrão para mld-snooping { permit | deny } { group
não está na
grupos de multicast que não all | vlan vid }
blacklist ou
estão na blacklist ou whitelist
na whitelist
é aprender
todos os
grupos
multicast.
Acesse o modo de
interface ethernet interface-num -
configuração de interface
mld-snooping { permit | deny } group-
Opcional
range MAC multi-count num vlan vid
Opcional,
por padrão,
Configuração de blacklist e nenhum
whitelist para a porta multicast mld-snooping { permit | deny } group grupo de
MAC vlan vid multicast será
adicionado
à blacklist e
whitelist
121
»» Configuração do MLD-Snoooping querier:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Habilitar MLD-Snooping
mld-snooping querier Obrigatório
querier
Configuração do intervalo de
envio de pacotes de consulta mld-snooping query-interval interval Opcional
geral
Configuração do tempo de
resposta máximo para consulta mld-snooping query-max-respond time Opcional
gerais
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração da função de
mld-snooping route-port forward Opcional
porta de roteamento híbrida
Configure o tempo de
mld-snooping router-port-age { on | off |
envelhecimento da porta de Opcional
age-time }
roteamento dinâmico
Configuração da porta de rota mld-snooping route-port vlan vid
Opcional
estática interface { all | * thernet interface-num }
122
Configuração de VLAN multicast
Depois de habilitar a função de VLAN multicast em uma porta, o OLT altera os pa-
cotes para uma VLAN multicast, independentemente da VLAN à qual pertençam as
mensagens MLD.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface {ethernet | pon} port-number -
configuração de interface
Configuração da VLAN
mld-snooping multicast vlan vid Opcional
multicast na porta
Obrigatório/
Operação Comando
opcional
Visualização das configurações
show mld-snooping
do MLD-Snooping
Visualização da porta de rota Opcional,
show mld-snooping router-dynamic
dinâmica executável
Visualização da configuração em todos os
show mld-snooping router-static modos.
de rota estática
Visualização do grupo
show multicast mld-snooping
multicast
123
Exemplo de configuração MLD-Snooping
Multicast
router
Porta 4
OLT
Porta 1
Porta 2 Porta 3
»» Requisitos de rede:
Conforme exibido na figura anterior, os hosts Host-A, Host-B e Host-C pertencem à
VLAN 2, VLAN 3 e VLAN 4, respectivamente. Os hosts estão configurados para rece-
ber os dados do grupo multicast com o endereço FF02::01::0101, FF02::01::0102 e
FF02::01::0103, respectivamente.
»» Etapas de configuração
»» Configurar OLT
»» Configure VLAN 2, VLAN 3 e VLAN 4 e em seguida adicione Ethernet 0/1,
Ethernet 0/2 e Ethernet 0/3 a VLAN 2, VLAN 3 e VLAN 4, respectivamente.
OLT4840E(config)#vlan 2
OLT4840E(config-if-vlan)#switchport ethernet 0/1
OLT4840E(config-if-vlan)#exit
OLT4840E(config)#vlan 3
OLT4840E(config-if-vlan)#switchport ethernet 0/2
OLT4840E(config-if-vlan)#exit
OLT4840E(config)#vlan 4
124
OLT4840E(config-if-vlan)#switchport ethernet 0/3
OLT4840E(config-if-vlan)#exit
»» Habilitar MLD-Snooping
OLT4840E(config)#mld-snooping
Quando Host-A, Host-B e Host-C enviam pacotes de relatório MLD para o
OLT4840E, ele aprenderá as entradas de grupo multicast correspondentes.
Quando o roteador multicast IPV6 envia pacotes de consulta MLD, o OLT irá
aprender as entradas da porta de roteamento correspondente.
Exibir os grupos multicast aprendidos pelo OLT
OLT4840E(config)#show mld-snooping group
show multicast table information
MAC Address : 33:33:00:01:00:01
VLAN ID : 2
port list : e0/1.
125
Quando o roteador multicast envia o fluxo de dados multicast FF02::01::0101,
FF02::01::0102 e FF02::01::0103, o OLT distribuirá o fluxo de dados corres-
pondente para Host-A, Host-B E Host-C.
6.3. GMRP
Visão geral de GMRP
GMRP (GARP Multicast Registration Protocol) baseia-se no mecanismo de trabalho
do GARP (Generic Attribute Registration Protocol) e mantém as informações de re-
gistro multicast dinâmico no roteador. Todos os roteadores que suportam o recurso
GMRP podem receber dados de registro multicast de outros roteadores e atualizar
dinamicamente as informações locais de cadastro multicast. Ao mesmo tempo, o ro-
teador também pode enviá-las para outros roteadores para que todos os dispositivos
estejam consistentes.
Quando um host quer se juntar a um grupo de multicast IP, ele precisa enviar uma
mensagem de IGMP join, que é derivada do GMRP. Ao receber esta mensagem, o OLT
adiciona a porta ao grupo multicast apropriado e envia as informações para todos os
outros hosts na VLAN, com um host atuando como a fonte de multicast.
Quando esta fonte de multicast envia informações de multicast, o OLT envia tais
informações somente através da porta que foi adicionada anteriormente ao grupo
de multicast. Além disso, o OLT envia periodicamente uma consulta GMRP, se o host
quiser permanecer no grupo multicast, ele deve responder à consulta GMRP.
Se um host não quer ficar em um grupo multicast, ele pode enviar uma mensagem de
saída (leave) ou não responder a uma consulta GMRP periódica. Uma vez que o OLT
recebe uma mensagem de saída ou não recebe uma resposta durante a configuração
de todas as temporizações, ele exclui o host do grupo multicast.
Habilitar/desabilitar GMRP
O GMRP pode ser ativado no modo de configuração global ou no modo de configu-
ração da porta. Por padrão, o GMRP está desabilitado.
126
Operação Comando Obrigatório/
opcional
Acesse o modo de
interface ethernet interface-num Obrigatório
configuração de portas
Obrigatório,
para habilitar
Habilite o GMRP no modo de este modo,
gmrp
interface a porta deve
estar em
modo Trunk
O GMRP
pode ser
desabilitado
Desabilite o GMRP no gmrp em modo
Global ou
modo de
interface
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Obrigatório,
o multicast
estático
correspondente
Configuração de Multicast [no] garp permit multicast mac-address deve ser criado
Release por GMRP mac vlan vid em primeiro
lugar; usando o
comando “no”
para excluir a
configuração
Obs.: no GMRP, se não for a VLAN padrão, a VLAN correspondente deve ser com-
binada com o gvrp para produzir efeitos. Todos os recursos geralmente são usados
em conjunto com o gvrp. Para a configuração do gvrp, consulte a seção 4.4. Confi-
guração de GVRP.
127
Visualização e manutenção do GMRP
Depois de completar a configuração acima, você pode usar o seguinte comando para
visualizar a configuração.
Obrigatório/
Operação Comando
opcional
Visualização do status global
show gmrp
do GVRP
Visualização do status do show gmrp interface [ethernet interface-
GMRP num] Opcional,
Visualização do GMRP show garp permit multicast executável
em todos os
Visualização dos grupos de modos.
multicast locais (incluindo
grupos multicast estáticos e show multicast
grupos multicast aprendidos
via GMRP)
»» Requisitos de rede:
Na rede exibida acima, OLT 1 e OLT 3 anunciam suas informações de multicast
estático para o OLT 2 via pacotes GMRP e o OLT 2 anuncia as informações multicast
aprendidas através do GMRP. Eventualmente, as informações de multicast da OLT 1,
OLT 2 e OLT 3 são sincronizadas.
»» Roteiro de configuração:
1. Ative o GMRP no OLT 1 e anuncie as informações do multicast;
2. Ative o GMRP no OLT 2 e anuncie as informações do multicast;
3. Ative o GMRP no OLT 3 e anuncie as informações do multicast.
128
»» Passos de configuração:
»» Configuração do OLT1
OLT4840E(config)#vlan 111,333
OLT4840E(config-if-vlan)#switchport ethernet 0/1 to ethernet 0/10
Add VLAN port successfully.
OLT4840E(config)#multicast mac-address 01:00:5e:01:01:01 vlan 111
adding multicast group successfully !
OLT4840E(config)#multicast mac-address 01:00:5e:01:01:01 vlan 111 interface
ethernet 0/1
to ethernet 0/10
adding multicast group port successfully !
OLT4840E(config-if-vlan)#interface e 0/1
OLT4840E(config-if-ethernet-0/1)#switchport mode trunk
OLT4840E(config-if-ethernet-0/1)#exit
OLT4840E(config)#gvrp
Turn on GVRP successfully.
OLT4840E(config)#gmrp // Configuração de GMRP
Turn on GMRP successfully.
OLT4840E(config)#garp permit vlan 111,333
OLT4840E(config)#garp permit multicast mac-address 01:00:5e:01:01:01 vlan 111
OLT4840E(config)#interface e 0/1
OLT4840E(config-if-ethernet-0/1)#gvrp
OLT4840E(config-if-ethernet-0/1)#gmrp
OLT4840E(config-if-ethernet-0/1)#exit
132
As informações de multicast no OLT3 exibem que 01:00:5e:01:01:01 são pacotes
multicast aprendidos via GMRP.
OLT4840E (config)#show multicast
show multicast table information
MAC Address : 01:00:5e:01:01:01
VLAN ID : 111
Static port list :
IGMP port list :
Dynamic port list : e0/4.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Criação de uma tabela multicast {mac-address mac | ip-address
Obrigatório
multicast estática ip } vlan vlan-id
133
O parâmetro MAC refere-se ao endereço MAC do grupo multicast. É necessário usar
o formato de endereço multicast, por exemplo: 01:00:5e:**:**:**, IP refere-se a IP
multicast, por exemplo, 224.0.1.1, VLAN-ID refere-se a ID de VLAN, com O intervalo
de 1 a 4094 (deve ser uma VLAN existente). Quando o grupo de multicast estático
não existe, o grupo de multicast não pode ser adicionado.
Por exemplo:
»» ! Crie um grupo multicast com o endereço MAC de 01:00:5e:01:02:03 e a VLAN ID 1
OLT4840E(config)#multicast mac-address 01:00:5e:01:02:03 vlan 1
! Crie um grupo multicast com o endereço IP de 224.0.1.1 e VLAN ID 1
OLT4840E(config)#multicast ip-address 224.0.1.1 vlan 1
Adicionar uma porta a um grupo multicast
Adicionar uma porta a um grupo multicast
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
multicast {mac-address mac | ip-address
Adicionar uma porta a um
ip } vlan vlan-id interface { all | interface- Obrigatório
grupo multicast estático
list }
Por exemplo:
»» ! Adicionar as portas Ethernet 2, 3, e 8 no multicast criado
OLT4840E(config)#multicast mac-address 01:00:5e:01:02:03 vlan 1 interface
ethernet 0/2 to
ethernet 0/4 ethernet 0/8
Configuração da porta de proxy
Quando um OLT é configurado com uma tabela de multicast estático, se o OLT estiver
configurado com uma porta de proxy, ele pode enviar o relatório para a fonte de
multicast anunciando a informação do membro.
134
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal
configuração global
multicast {mac-address mac | ip-address
Criar uma porta proxy para um
ip } vlan vlan-id proxy-port ethernet Obrigatório
grupo multicast estático
interface-list
Configurar intervalo de envio de
pacotes de relatório para a origem multicas proxy-interval second Opcional
multicast pela porta de proxy
7. Configuração de endereço de IP
7.1. Endereço de IP da interface do OLT
Introdução ao IP da interface do OLT
O IP do OLT pode ser usado como endereço de gerenciamento ou gateway. O IP deve
ser configurado nas interfaces interface VLAN e interface super-VLAN. A SuperVLAN
inclui muitas sub-VLANs.
Configuração da interface VLAN
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Criar a VLAN vlan id Opcional
Adicionar a porta na VLAN switchport ethernet port Opcional
Criar interface VLAN interface vlan-interface vid Opcional
Configuração de endereço de
ip address {ipaddress|primary} mask override Opcional
IP da interface
Remover endereço de IP da
no ip address ipaddress mask Opcional
interface
Configuração do intervalo de ip addres range start ipaddress end Opcional
controle de acesso de IP ipaddress
Remover intervalo de controle no ip addres range start ipaddress end Opcional
de acesso de IP ipaddress
Obs.: uma interface pode configurar 32 IPs em diferentes redes.
135
»» Controle de intervalo de acesso IP: todas as interfaces VLAN ou superVLAN
podem ser configuradas com até oito intervalos de acesso. Depois que o intervalo
de acesso é configurado, o usuário ARP deve estar dentro desses intervalos para
aprender e, assim, limitar o acesso do usuário.
Configuração da interface SuperVLAN
Configuração de interface SuperVLAN
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Criar interface SuperVLAN interface supervlan-interface vid Opcional
Adicionar uma sub-VLAN na
subvlan {vid| VLAN list } Opcional
SuperVLAN
Configuração da IP da interface
ip address {ipaddress| primary} mask Opcional
SuperVLAN
Remover endereço de IP da
no ip address ipaddress mask Opcional
interface
Configuração do intervalo de ip addres range start ipaddress end
Opcional
controle de acesso de IP ipaddress
Remover intervalo de controle no ip addres range start ipaddress end
Opcional
de acesso de IP ipaddress
Configuração override IP
Ao configurar o IP, adicione o comando de override na parte de trás, usado para
revisar o IP no mesmo segmento de rede.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de interface vlan-interface vid /supervlan-
Opcional
configuração de interface interface id
Configuração ip address ipaddress mask override Opcional
136
Configuração de interface de loopback
A interface VLAN e a interface SuperVLAN conectam as portas diretamente enquanto
a interface de loopback conecta as portas através delas. No caso, a interface de
loopback não será influenciada pelo status da porta e sempre ficará no estado de
linkup.
»» Configuração de interface de loopback:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Criar a interface de loopback interface loopback-interface <0-1> Opcional
Configuração IP da interface ip address ipaddress mask Opcional
137
Desligar uma interface
Você não pode gerenciar um dispositivo após sua interface ser desligada.
»» Desligar interface:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse a interface de
interface vlan-interface vid Obrigatório
configuração de VLAN
Desligar a interface shutdown Opcional
Acesse a interface de
interface supervlan-interface vid Obrigatório
configuração de SuperVLAN
Desligar a interface shutdown Opcional
Reativar interface no shutdown Opcional
Obrigatório/
Operação Comando
opcional
Opcional,
pode ser
Visualizar configuração IP das show ip interface {loopback-interface |
executado
Interfaces de VLAN supervlan-interface | vlan-interface }
em qualquer
modo
138
8. Configuração de endereço IPv6
8.1. Informações básicas de IPv6
IPv6 (Internet Protocol Version 6) é o protocolo de camada de rede padrão de segun-
da geração, também conhecido como IPng (IP Next Generation), que foi projetado
pela IETF (Internet Engineering Task Force), superior ao IPv4. A maior diferença entre
IPv6 e IPv4 é que o comprimento do endereço IP aumenta de 32 bits para 128 bits.
139
Os tipos e funções de mensagem ICMPv6 no protocolo de descoberta vizinha são
exibidos a seguir:
ICMPv6 Descrição
140
Host A Host B
NS
ICMP type = 135
Scr = A
Dst = endereço multicast do nó solicitado pelo host
141
Host A Host B
NS
ICMP type = 135
Scr = ::
Dst = FFF02:1:FF00:1
8.4. Configuração de IPv6
Configuração de endereço IPv6 unicast
Ao acessar a rede IPv6, o endereço IPv6 deve ser configurado, e temos que escolher
um dos endereços unicast global, endereço local, endereço local do link.
Ao acessar a rede, o endereço unicast IPv6 deve ser configurado.
»» O endereço local do site IPv6 e o endereço unicast global podem ser configurados
pelas seguintes 4 maneiras:
»» EUI-64: quando adota EUI-64 formando IPv6, o prefixo do endereço IPv6 da
interface é o prefixo configurado. O identificador da interface é traduzido a
partir do endereço da camada de ligação da interface.
»» Modo Manual: configure o endereço local do local IPv6 ou o endereço uni-
cast global por modo Manual.
»» DHCP: suporta obter o endereço local do site IPv6 ou o endereço unicast glo-
bal ou algumas informações relacionadas através do servidor DHCP.
142
»» Configuração automática: IPv6 e informações relacionadas são configura-
das automaticamente com base em seu próprio endereço de camada de link e
as informações de prefixo anunciadas pelo roteador.
»» Obtenha o endereço local do link IPv6 por duas maneiras:
»» Geração automática: gera automaticamente o endereço local do link para
a interface com base no prefixo do endereço local do link (FE80 :: / 64) e no
endereço da camada da ligação da interface.
»» Atribuição manual: configure manualmente o endereço local do link IPv6.
»» Configuração de endereço IPv6:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal Obrigatório
configuração global
interface { vlan-interface vid |
Acesse o modo de interface
supervlan-interface Obrigatório
VLAN/ interface SuperVLAN
interface-number }
Configurar o endereço do site
ipv6 address ipv6-address/prefix-length
local e o endereço unicast Opcional
eui-64
global no formato EUI-64
Excluir o endereço local do
site e o endereço unicast no ipv6 address ipv6-address/prefix-length
Opcional
global configurado no eui-64
formato EUI-64
Especificar manualmente o
endereço local do site e o ipv6 address ipv6-address/prefix-length Opcional
endereço unicast global
Excluir endereços local-local
especificados manualmente e no ipv6 address ipv6-address/prefix-length Opcional
endereços unicast globais
Configurar automaticamente
o endereço local do site e o ipv6 address autoconfig Opcional
endereço unicast global
Excluir o endereço
local-global configurado
no ipv6 address autoconfig Opcional
automaticamente e o
endereço unicast global
143
Obrigatório/
Operação Comando
opcional
Opcional,
por padrão,
Especificar o endereço local um endereço
ipv6 address ipv6-address link-local
do link manualmente local de link é
automaticamente
formado
Excluir o link-endereço local
no ipv6 address ipv6-address link-local Opcional
especificado manualmente
Obter endereço ipv6 pelo
ipv6 address dhcpc6 Opcional
DHCP
Desativar a função de obter o
no ipv6 address dhcpc6 Opcional
endereço ipv6 pelo DHCP
Visualização da configuração
show ipv6 Opcional
do endereço ipv6
Visualização a situação de
obter o endereço IPv6 pelo show ipv6 address dhcpc6 Opcional
DHCP
144
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
interface { vlan-interface vid | supervlan-
Acesse o modo de interface
interface -
VLAN/ interface SuperVLAN
interface-number }
ipv6 neighbor ipv6-address mac-address
Configuração de lista de
vlan-id Obrigatório
vizinhança estática longa
device/slot/port
Configuração de lista de
ipv6 neighbor ipv6-address mac-address Obrigatório
vizinhança estática curta
Excluir a lista de vizinhança no ipv6 neighbor {dynamic | static | all | } Opcional
no ipv6 neighbor ipv6-address interface {
Excluir a lista de vizinhança na
vlan-interface vid | supervlan-interface Opcional
interface VLAN
interface-number }
Visualização da lista de show ipv6 neighbors { ipv6-addres |all |
Opcional
vizinhança dynamic| static|mac mac-address}
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional,
por padrão,
o número de
envio de NS
na detecção
de endereço
Configuração do número de
duplicado é
envio de NS para detecção de ipv6 nd dad attempts value
1. Quando
endereço duplicado
o valor é 0,
significa que
a detecção
de endereço
duplicado está
desativada.
145
Obrigatório/
Operação Comando
opcional
Recupere o valor padrão de
no ipv6 nd ns retrans-time Opcional
retrans-time
Visualização do número de
envio de NS para detecção de show ipv6 nd dad attemps Opcional
endereço duplicado
Visualização do intervalo para
show ipv6 nd ns retrans-time Opcional
enviar mensagem NS
146
Obrigatório/
Operação Comando
Opcional
no ipv6 route [ipv6-address mask| ipv6-
Remover a rota estática IPv6 Opcional
address/prefix-length] nexthop-addres
Visualização da lista de rota show ipv6 route Opcional
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de interface interface { vlan-interface vid | supervlan-
-
VLAN / interface SuperVLAN interface interface-number }
147
Obrigatório/
Operação Comando
opcional
Opcional, por
Configuração da interface MTU ipv6 pathmtu value padrão o valor
é 1500
Restaurar configurações
no ipv6 pathmtu Opcional
padrão
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Obrigatório,
Ativar a resposta de pacote ipv6 icmpv6 multicast-echo-reply por padrão
multicast enable está
desativado
Desativar a resposta de pacote
no ipv6 icmpv6 multicast-echo-reply Opcional
multicast
OLT A OLT B
»» Configuração do OLT A:
SwitchA(config)#interface vlan-interface 1
148
SwitchA(config-if-vlanInterface-1)#ipv6 address 2001::1/64
SwitchA(config-if-vlanInterface-1)#ipv6 address fe80:12::1 link-local
»» (2) Configuração do OLT B:
SwitchB(config)# interface vlan-interface 1
SwitchB(config-if-vlanInterface-1)#ipv6 address 2001::2/64
SwitchB(config-if-vlanInterface-1)#ipv6 address fe80:12::2 link-local
Verificação de configuração
»» Exiba as informações ipv6 do OLT A
OLT A(config)#show ipv6 interface vlan-interface 1
Show informations of ipv6 interface
VLAN-IF1:
sw0 Link type:Ethernet HWaddr 00:00:00:09:99:99 Queue:none
IPv6 forwarding is disabled
inet6 unicast 2001::1 prefixlen 64
inet6 unicast FE80::200:FF:FE09:9999%sw0 prefixlen 64 automatic
inet6 unicast 2001:: prefixlen 64 anycast
inet6 multicast FF02::1%sw0 prefixlen 16 automatic
inet6 multicast FF02::1:FF09:9999%sw0 prefixlen 16
inet6 multicast FF02::1:FF00:1%sw0 prefixlen 16
inet6 multicast FF02::1:FF00:0%sw0 prefixlen 16
UP RUNNING SIMPLEX BROADCAST MULTICAST PROMISC
MTU:1500 metric:1 VR:0 ifindex:2
RX packets:150 mcast:35 errors:0 dropped:0
TX packets:1216 mcast:33 errors:0
collisions:0 unsupported proto:0
RX bytes:13k TX bytes:55k
»» Exiba as informações ipv6 do OLTB
OLT A(config)#show ipv6 interface vlan-interface 1
Show informations of ipv6 interface
149
VLAN-IF1:
sw0 Link type:Ethernet HWaddr 00:01:7a:e9:68:58 Queue:none
IPv6 forwarding is disabled
inet6 unicast FE80:12::2%sw0 prefixlen 64
inet6 unicast 2001::2 prefixlen 64
inet6 unicast FE80::201:7AFF:FEE9:6858%sw0 prefixlen 64 automatic
inet6 multicast FF02::1%sw0 prefixlen 16 automatic
inet6 multicast FF02::1:FFE9:6858%sw0 prefixlen 16
inet6 multicast FF02::1:FF00:2%sw0 prefixlen 16
UP RUNNING SIMPLEX BROADCAST MULTICAST PROMISC
MTU:1500 metric:1 VR:0 ifindex:2
RX packets:21912 mcast:7990 errors:0 dropped:73
TX packets:8300 mcast:8023 errors:0
collisions:0 unsupported proto:0
RX bytes:1858k TX bytes:714k
Total entries: 1 interface.
»» Faça o ping do OLT A para o OLTB no endereço local e no endereço unicast global. Se a
configuração for correta, os dois tipos de endereços IPv6 podem ser pingados com sucesso.
150
--- FE80:12::2%sw0 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 4840 ms
rtt min/avg/max = 10/10/10 ms
OLTA(config)#ping6 2001::2
151
9. Configuração de ONU
9.1. Descoberta e autenticação de ONU
Visão geral de descoberta e autenticação de ONU
O OLT gera periodicamente mensagens Discover Time Windows para a descoberta de
ONUs recém conectadas ou que não estão ativas, mas que acessam o PON. É enca-
minhada uma mensagem de descoberta para todas ONUs notificando o período de
descoberta. Uma vez recebida, a ONU aguarda o início do período e encaminha uma
mensagem REGISTER_REQ em resposta, onde é informado seu identificador físico
(MAC) e/ou lógico (LOID + password). O OLT recebe a mensagem REGISTER_REQ e
verifica a validade da identificação da ONU de acordo com a lista de autenticação con-
figurada. Se a autenticação for bem-sucedida, a mensagem REGISTER é encaminhada
para a ONU e o estado dela atualizado para autorizado. O LLID é atribuído à ONU e o
OLT encaminha uma mensagem GATE padrão unicast para a ONU autorizada. Após sua
chegada, a ONU encaminha uma mensagem REGISTER_ACK para confirmar o LLID e o
tempo de sincronização na mensagem GATE. Quando o OLT receber o REGISTER_ACK,
o processo de autenticação de descoberta da ONU é concluído.
Se a autenticação da ONU falhar, o estado não autorizado será mantido, o OLT encami-
nhará a mensagem REGISTER (Flag = 0x02: Deregister) para ela cancelar o seu registro.
Nosso equipamento EPON suporta três métodos de autenticação da ONU:
»» Autenticação baseada na identificação física: a autenticação baseada em
MAC é dividida em dois modos: autenticação de whitelist (lista de MAC permiti-
dos) e autenticação de blacklist (lista de MAC bloqueados). Quando a autentica-
ção MAC é habilitada, o MAC da ONU correspondente deve ser configurado no
OLT para determinar se a ela deve completar o seu registro ou não.
»» Autenticação baseada em identificação lógica: a identificação lógica usa
LOID + Senha. Quando você habilita a autenticação da ONU com base na ID
lógica, você precisa configurá-la no OLT para determinar se a ONU deve completar
o registro ou não.
»» Híbrido: a autenticação da ONU baseada no endereço físico e na ID lógica são
compatíveis. O OLT usa um dos dois modos de autenticação para ONUs diferentes.
Desta forma, autentica-se primeiro baseado no endereço MAC. Se falhar, inicia-se
a autenticação com base na ID lógica da ONU.
Por padrão nenhum modo de autenticação vem habilitado, ou seja, toda ONU pode
se conectar ao sistema EPON e não precisa ser autenticada.
152
Configuração da descoberta e autenticação de ONU
»» Configuração da descoberta e autenticação de ONU:
Obrigatório/ Informação
Configuração da atividade
opcional detalhada
153
Exemplo de configuração de modo sem autenticação
»» Requisitos de rede:
»» Explicação da rede: por padrão a ONU pode estar conectada:
Tester B Tester A
»» Passos de configuração:
»» Exiba o modo de autenticação ONU da porta PON no OLT no modo de confi-
guração vazio:
»» Exiba a configuração de autenticação da ONU na porta PON (no modo Global):
OLT4840E(config)#show onu-authenticate mode slot 0
slot : 0
pon 0/1 onu-authentication mode: disable
pon 0/2 onu-authentication mode: disable
pon 0/3 onu-authentication mode: disable
pon 0/4 onu-authentication mode: disable
»» Exiba a configuração de autenticação da porta PON 0/1 (no modo de con-
figuração de porta);
OLT4840E(config)#interface pon 0/1
OLT4840E(config-if-pon-0/1)#show onu-authenticate mode
slot : 0
pon 0/1 onu-authentication mode: disable
»» Verifique os resultados:
As ONUs conectadas podem ser registradas.
154
Modo de autenticação por MAC
Configuração do modo de autenticação por MAC
Obrigatório/
Operação Comando
opcional
Acesse o modo de configuração
interface pon port_id -
de porta PON
Configuração do modo de onu-authenticate mode mac-auth {white-
Opcional
autenticação de ONU por MAC list| black-list }
Adicionar um registro na
whitelist (lista de permissão) da white-list add onu_mac Opcional
porta PON
Remover um registro na
whitelist (lista de permissão) da white-list del { onu_mac | all} Opcional
porta PON
Adicionar um registro na
blacklist (lista de bloqueio) da black-list add onu_mac Opcional
porta PON
Remover um registro na
blacklist (lista de bloqueio) da black-list del { onu_mac | all} Opcional
porta PON
Visualização da whitelist da
show white-list Opcional
porta PON
Visualização da blacklist da
show black-list Opcional
porta PON
155
Tester B Tester A
»» Passos de configuração:
»» Configure o modo de autenticação de PON 0/1 para autenticação de whitelist:
OLT4840E(config)#int pon 0/1
OLT4840E(config-if-pon-0/1)#onu-authenticate mode mac-auth white-list
OLT4840E(config-if-pon-0/1)#white-list add mac 00:0a:5a:00:01:01
»» Adicione um registro da whitelist com o ONU_id para ser 1 e o endereço MAC:
00:0a:5a:00:01:01 para PON 0/1.
OLT4840E(config-if-pon-0/1)#white-list add mac 00:0a:5a:00:01:01
»» Exiba a whitelist configurada na porta PON 0/1:
OLT4840E(config-if-pon-0/1)#show white-list
WHITE LIST:
Port Index Mac Address
pon-0/1 1 00:0a:5a:00:01:01
Total white-list entries: 1 .
»» Verifique os resultados:
OLT4840E(config-if-pon-0/1)#show onu-status
ONU Mac Address Rtt RegisterTime Type Software State
0/1/1 00:0a:5a:00:01:01 14 16/11/09 09:56:15 2400 B01D004P2 Up
0/1/2 00:0a:5a:ff:ff:69 - - - - Down
Total onu entries: 2 .
onu online : 1 .
»» A ONU que acessou com o endereço MAC 00: 0a: 5a: 00: 01: 01 pode ser
registrada normalmente.
»» (A ONU que não acessou com o endereço MAC 00:0a:5a:00:01:01 não pode
ser registrada normalmente.
156
Autenticação baseada em identificador lógico
Configuração da autenticação baseada em identificador lógico
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de configuração
Interface pon port_id Opcional
de porta PON
Configuração do modo de
autenticação de ONU por onu-authenticate mode loid-auth Opcional
identificador lógico
Adicionar um ID lógico na loid-list add loid loid_id password
Opcional
porta PON password_id
Remover um ID lógico na
loid-list del {loid loid _id| all} Opcional
porta PON
Visualização da lista de IDs
show loid-list Opcional
lógicos da porta PON
Tester B Tester A
157
»» Exiba a lista de ID lógicos na porta PON 0/1:
OLT4840E(config-if-pon-0/1)#show loid-list
LOID LIST:
Index Loid Password
1 000a5a000101 1111
Total loid entries: 1 .
»» Verifique o resultado:
OLT4840E(config-if-pon-0/1)#show onu-status
ONU Mac Address Rtt RegisterTime Type Software State
0/1/1 00:0a:5a:00:01:01 13 16/11/09 10:06:53 2400 B01D004P2 Up
0/1/2 00:0a:5a:ff:ff:69 - - - - Down
Total onu entries: 2 .
onu online : 1 .
(1) A ONU que acessou com a LOID 000a5a000101 e senha 1111 pôde ser regis-
trada normalmente.
(2) A ONU que não acessou com o LOID 000a5a000101 e senha 1111 não pôde
ser registrada normalmente.
Modo de autenticação híbrida
Configuração do modo de autenticação híbrida
»» Modo de autenticação híbrida:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de configuração
Interface pon port_id Opcional
de porta PON
Configuração do modo de
onu-authenticate mode hybrid-auth Opcional
autenticação de ONU híbrido
hybrid-list add { loid|mac } {[loid loid_id
Adicionar um registro de
password password_id] | [onu-mac ]} Opcional
interface PON híbrida
158
Obrigatório/
Operação Comando
opcional
Visualização da lista registros
show hybrid-list Opcional
de interface PON híbrida
Obs.: desta forma, o OLT se autentica com base no endereço MAC da ONU. Se a
autenticação falhar, o OLT inicia a autenticação com base na ID lógica da ONU.
Exemplo de configuração para o modo de autenticação híbrida
»» Requisitos de rede:
»» Explicação da rede: configure o modo de autenticação da ONU como modo de
autenticação híbrida, em seguida, acesse a ONU para verificar se pode estar
online ou não.
Tester B Tester A
9.2. ONU Ranging
Visão geral de ONU Ranging
Uma vez que o canal de upstream do EPON adota o modo TDMA, o acesso multipon-
to leva a diferentes atrasos do quadro de dados de cada ONU. Portanto, é necessário
introduzir as técnicas de compensação de atraso e de intervalo para evitar a colisão
de dados no domínio do tempo. Assim, é importante medir com precisão a distância
entre cada ONU e o OLT, e ajustar com precisão o atraso da transmissão de cada ONU
para alcançar a sincronização do sistema.
»» Sincronização do sistema: como cada sistema EPON adota o modo de divisão
do tempo, o OLT e as ONUs devem alcançar a sincronização antes de iniciarem
a comunicação para garantir a transmissão correta das informações. Para isso, é
necessário um tempo de referência comum, no EPON, ele é o relógio do OLT. Pe-
riodicamente são transmitidas as informações de sincronização para que as ONUs
possam ajustar seus próprios relógios.
Como a distância entre cada ONU e o OLT é diferente, o atraso da transmissão
deve ser diferente. Para isso, o relógio da ONU deve estar adiantado em relação ao
relógio do OLT. Esta diferença é o atraso da transmissão do uplink. Ou seja, se o OLT
encaminha um bit no momento 0, a ONU deve recebê-lo no tempo RTT (atraso de
transmissão de ida e volta). RTT é igual ao atraso de transmissão de ligação down-
link mais atraso de transmissão de ligação uplink, ele deve ser calculado e enviado
para a ONU. O processo de aquisição do RTT é variável. Quando o sistema EPON
atinge a sincronização, as informações encaminhadas pelas diferentes ONUs sob o
mesmo OLT não entrarão em colisão.
160
»» Ranging e atraso de compensação: medindo com precisão a distância de
cada ONU para o OLT e ajustando o atraso de transmissão, os intervalos en-
tre as janelas de transmissão da ONU podem ser reduzidos, melhorando as-
sim a taxa de utilização do canal upstream e reduzindo o tempo de atraso.
Além disso, o processo de ranging deve levar plenamente em conta a configura-
ção do EPON. Por exemplo, se uma nova ONU for adicionada enquanto o sistema
estiver funcionando, o ranging não deve ter um impacto significativo em outras
ONUs. O ranging do EPON é iniciado e completado pelo OLT, que monitora o plug
and play da ONU através da data / hora (Timestamp).
O processo básico é o seguinte:
O OLT transmite o sinal de sincronização do slot e o indicador do intervalo de tempo
ocioso através do canal downstream no momento T1; quando a ONU detecta uma
marca de intervalo de tempo ocioso em T2, ela reinicia o temporizador local em T1;
no momento T3, ela encaminha um quadro de dados de resposta online que contém
os parâmetros da ONU (endereço, nível de serviço, etc.). Nesse caso, o carimbo de
data / hora local no quadro de dados é T4; o OLT recebe o quadro de resposta no
momento T5. Através deste quadro de resposta, o OLT não só obtém parâmetros da
ONU, mas também calcula o atraso do canal entre o OLT e a ONU (RTT = T2-T1 +
T5-T3 = T5-T4).
T1 T5
(T5-T1)
GATE
Tx T1 ...
OLT
Rx T4 ...
REPORT
(T3-T2)
REPORT
Tx T4 ...
ONU
Rx T1
GATE
T2 T3
RTT = (T5 - T1) - (T3 - T2) = (T5 - T1) - (T4 - T1) = T5 - T4
Obrigatório/ Informação
Configuração da atividade
opcional detalhada
Configuração básica do
registro e gerenciamento Configuração de ONU Ranging Opcional 2.3
de ONU
ONU Ranging
Configuração de ONU Ranging
»» Configuração de ONU Ranging:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal Obrigatório
configuração global
Obs.: Rtt é o tempo de ida e volta, 1tq é 16ns, a velocidade da luz na velocidade da
fibra é cerca de 200.000 km / segundo (C / índice de refração 1.5), 1tq é equivalente
a 1.5 m; no entanto, o RTT também inclui LaserON, LaserOn Delay, AGC e tempo de
CDR do laser OLT e do laser ONU, portanto, o real 1 tq = 1.500 ~ 3.180 m.
162
Configuração exemplo do ONU Ranging
»» Requisitos de rede:
»» Explicação da rede: conecte a fibra de 4KM entre a ONU e o OLT, você precisa
medir a distância da ligação óptica física entre a ONU e o OLT.
»» Passos de configuração:
»» Leia a distância de ligação física (em unidades de tq) da ONU com o ONU-ID
1 na PON 0/1.
OLT4840E(config-if-pon-0/1)#onu-rtt 1
onu 0/1/1 rtt is 14 tq.
»» Exibir a informação de estado da ONU 0/1/1 e a distância de ligação física (m)
OLT4840E(config)#show onu-status 0/1/1
ONU Mac Address Rtt RegisterTime Type Software State
0/1/1 00:0a:5a:00:01:01 14 16/11/09 10:23:31 2400 B01D004P2 Up
Total onu entries: 1 .
onu online : 1 .\
163
9.3. ONU-VLAN
Visão geral de ONU-VLAN
As regras específicas para cada modo VLAN são definidas da seguinte forma:
»» Modo de transmissão transparente de VLAN: neste modo, o dispositivo
(OLT / ONU) recebe o quadro Ethernet de uplink/downlink sem qualquer proces-
samento (independentemente de o quadro Ethernet possui tag VLAN ou não) e
o encaminhará para outra interface. A tabela a seguir exibe como um OLT / ONU
manipula pacotes de dados no modo de transmissão transparente de VLAN.
»» O modo de processamento do dispositivo em modos de transmissão transparentes
de VLAN:
164
»» O modo de processamento do dispositivo no modo Tag VLAN:
Direção Tag/untag Modo de processamento
Com tag VLAN Descarta
Uplink Marcado com a nova tag VLAN (o
Sem tag VLAN
parâmetro principal é VID), encaminha.
Reencaminha para a porta correspondente
de acordo com o VID, e descartar a Tag;
Com tag VLAN se a ID de VLAN do pacote marcado do
Downlink downlink não for o VID da porta, o pacote
será descartado.
Sem tag VLAN Descarta
165
Direção Tag/untag Modo de processamento
Se o VID da tag original tiver uma entrada
correspondente na lista de tradução
da porta, o VID é convertido para o
correspondente (entrada) e encaminhado.
Se o VID da tag original é o VID padrão,
a etiqueta é removida e o pacote será
encaminhado.
Com tag VLAN
Downlink Se o VID não tiver entrada correspondente
na lista de conversão da porta, o pacote
será descartado. Atualmente, apenas o
equipamento é necessário para converter
VID. Além disso, ele deve definir o TPID
convertido para o valor padrão (TPID =
0×8100) e Pri permanece no valor original.
Sem tag VLAN Descarta
166
Visão geral da configuração de CTC-VLAN
Visão geral de configuração de CTC-VLAN
Obrigatório/ Informação
Configuração da atividade
opcional detalhada
Modo de transmissão
Obrigatório 1.3
transparente
167
Exemplo de configuração de modo Transparente de transmissão
»» Requisitos de rede:
O diagrama de rede é o seguinte.
»» Requisitos: o frame Ethernet de uplink do tester A pode ser encaminhado de
forma transparente para o tester B, independentemente de o pacote ter ou não
uma tag; ao mesmo tempo, a estrutura Ethernet downlink do tester B pode ser
encaminhada de forma transparente para o tester A, independentemente de o
pacote ter ou não tag.
Tester B Tester A
E0/2 P0/1 e0/1
»» Passos de configuração:
»» Acesse o modo de configuração de ONU:
OLT4840E(config)#onu 0/1/1
»» Configure a ONU para operar em modo de transmissão transparente:
OLT4840E(onu-0/1/1)#onu-vlan-mode transparent
»» Verifique o resultado:
»» Display the ONU VLAN mode:
OLT4840E(onu-0/1/1)#show onu-vlan-mode
onu 0/1/1 :
port ID : 1 ctc vlan mode : transparent
port ID : 2 ctc vlan mode : transparent
port ID : 3 ctc vlan mode : transparent
port ID : 4 ctc vlan mode : transparent
168
Modo VLAN com tag
Configuração do modo VLAN com tag
Obrigatório/
Operação Comando
opcional
Acesse o modo de configuração
configure terminal -
global
Acesse o modo de configuração
onu onu_id Obrigatório
de ONU
Configuração o modo de VLAN
onu-vlan-mode tag vlan vlan-id Obrigatório
com tag
Visualização do modo de VLAN
show onu-vlan-mode Opcional
da ONU
Tester B Tester A
E0/2 P0/1 e0/1
»» Passos de configuração:
»» Acesse o modo de configuração de ONU:
OLT4840E(config)#onu 0/1/1
»» Configure a ONU para operar em modo VLAN com tag:
OLT4840E(onu-0/1/1)#onu-vlan-mode tag vlan 10
»» Verifique o resultado:
»» Display ONU VLAN mode
OLT4840E(onu-0/1/1)#show onu-vlan-mode
169
onu 0/1/1 :
port ID : 1 ctc vlan mode : tag default vlan : 10
port ID : 2 ctc vlan mode : tag default vlan : 10
port ID : 3 ctc vlan mode : tag default vlan : 10
port ID : 4 ctc vlan mode : tag default vlan : 10
Obrigatório/
Operação Comando
opcional
Acesse o modo de configuração
configure terminal Obrigatório
global
Acesse o modo de configuração
onu onu_id Obrigatório
de ONU
É necessário
acessar o modo
Acesse o modo de configuração de configuração
interface ethernet port_id
de porta da ONU de ONU antes
de acessar este
modo
onu-vlan-mode translation vlan default-vlan
Configuração de tabela de
old_vlan Obrigatório
tradução de VLAN
old_vlan new_vlan new_vlan
onu-vlan-mode translation delete old_
Remover tabela de tradução
vlan old_vlan Opcional
de VLAN
new_vlan new vlan
Visualização do modo de VLAN
show onu-vlan-mode Opcional
da ONU
Obs.: » O modo de tradução VLAN precisa ser configurado no modo de porta
ONU.
»» Se a tabela de tradução VLAN tiver apenas uma entrada, você não poderá
excluí-la através do comando de ONU-VLAN-mode translation delete.
170
Exemplo de configuração do modo de tradução de VLAN
»» Requisitos de rede:
»» Direção de Uplink:
O tester A encaminha um pacote não marcado para a ONU. O tester B recebe o
pacote com a etiqueta VLAN 10.
O tester A encaminha um pacote com VLAN 20 para a ONU e o pacote é encami-
nhado para o tester B com a etiqueta VLAN 30.
O tester A envia pacotes de outras VLAN para a ONU. Os pacotes não podem
ser encaminhados para o tester B.
»» Direção Downlink:
O pacote de downlink do tester B não é marcado com o VLAN depois de passar
pela porta OLT PON. O pacote não pode ser transferido para o tester A.
O pacote downlink do tester B é marcado com o VLAN 10 depois de passar pela
porta OLT PON. O pacote é transferido para o tester A mas não carrega a tag
VLAN.
O pacote de downlink do tester B é marcado com o VLAN 30 depois de passar
pela porta OLT PON. O pacote é transferido para o tester A e ele carrega a VLAN
20.
O pacote downlink do tester B é marcado com outras tags VLAN depois de passar
pela porta OLT PON. O pacote não pode ser transferido para o tester A.
O diagrama de rede é o seguinte:
Tester B Tester A
E0/2 P0/1 e0/1
»» Passos de configuração:
»» Acesse o modo de configuração da porta ONU:
OLT4840E(config)#onu 0/1/1
OLT4840E(onu-0/1/1)#int ethernet 0/1
»» Configure a lista de tradução de VLAN:
OLT4840E(onu-0/1/1-reth-0/1)#onu-vlan-mode translation vlan 10 old_vlan
20 new_vlan 30.
171
»» Verifique o resultado:
»» Exiba o modo de VLAN da ONU:
OLT4840E(onu-0/1/1-reth-0/1)#show onu-vlan-mode
onu 0/1/1 :
port ID : 1 ctc vlan mode : translation default vlan : 10
translation list : old vlan new vlan
1 20 30
Obrigatório/
Operação Comando
opcional
Acesse o modo de configuração
configure terminal -
global
Acesse o modo de configuração
onu onu_id Obrigatório
de ONU
É necessário
acessar o modo
Acesse o modo de configuração de configuração
interface ethernet port_id
de porta da ONU de ONU antes
de acessar este
modo
onu-vlan-mode trunk vlan default-vlan
Configuração de registros de
allow-vlan Obrigatório
VLAN-Trunk
vlan-list
onu-vlan-mode trunk delete allow-vlan
Remover registros de VLAN-Trunk Opcional
vlan-list
Visualização do modo de VLAN
show onu-vlan-mode Opcional
da ONU
172
Exemplo de configuração de VLAN-Trunk
»» Requisitos de rede:
»» Direção de Uplink:
O uplink do tester A encaminha um pacote não marcado. Ao passar pela ONU, o
pacote será encaminhado com a tag VLAN 10 para o tester B.
O uplink do tester A encaminha pacotes com VLAN 20-27, e os pacotes são
transmitidos de forma transparente para o tester B depois de passar pela ONU.
O uplink do tester A encaminha pacotes com outras tags VLAN, e os pacotes são
descartados ao passar pela ONU.
»» Direção de downlink:
O pacote downlink do tester B não carrega a tag VLAN depois de passar pela
porta OLT PON, o pacote não pode ser transferido para o tester A.
O pacote downlink do tester B carrega o VLAN 10 depois de passar pela
porta OLT PON, o pacote é transferido para o tester A, mas ele não carrega
a tag VLAN.
O pacote downlink do tester B carrega VLAN 20-27 depois de passar pela
porta OLT PON, o pacote é transferido para o tester A.
O pacote downlink do tester B carrega outras tags VLAN depois de passar
pela porta OLT PON, o pacote não pode ser transferido para o tester A.
O diagrama de rede é o seguinte:
Tester B Tester A
E0/2 P0/1 e0/1
»» Passos de configuração:
»» Acesse o modo de configuração de portas da ONU:
OLT4840E(config)#onu 0/1/1
OLT4840E(onu-0/1/1)#interface ethernet 0/1
»» Configure a ONU para operar no modo Trunk:
OLT4840E(onu-0/1/1-reth-0/1)#onu-vlan-mode trunk vlan 10 allow-vlan 20-27
173
»» Verifique o resultado:
»» Display ONU vlan mode:
OLT4840E(onu-0/1/1-reth-0/1)#show onu-vlan-mode
onu 0/1/1 :
port ID : 1 ctc vlan mode : trunk default vlan : 10
trunk allow-vlan list : 20 21 22 23 24 25 26 27
Os resultados estão de acordo com o esperado.
Obrigatório / Detalhes de
Configuração de task
opcional configuração
Configuração do estado de link
Opcional 1.3
da porta
Habilitar/desabilitar a porta Opcional 1.4
Configuração do controle de
Opcional 1.5
Configuração de portas da ONU fluxo da porta
Configuração de auto-
Opcional 1.6
negociação da porta
Limitação de velocidade da
Opcional 1.7
porta
174
Obrigatório /
Operação Comando
opcional
Pode ser
executado para
todas as portas,
Visualização do estado da
show onu-interface [ethernet port_id] ou apenas
conexão
para a porta
especificada no
comando.
175
Habilitar/desabilitar a porta da ONU
Habilitar/desabilitar a porta da ONU
Obrigatório /
Operação Comando
opcional
Acesso o modo de configuração
configure terminal -
global
Acesse o modo de configuração
onu onu_id Obrigatório
da ONU
Acesse o modo de configuração
de porta da ONU interface ethernet port_id Obrigatório
Por padrão da
Habilitar a porta no onu-shutdown porta da ONU
está habilitada
Desabilitar a porta onu-shutdown Opcional
176
Obrigatório /
Operação Comando
opcional
Habilitar o controle de fluxo onu-flow-control Opcional
Desabilitar o controle de fluxo no onu-flow-control Opcional
178
9.5. Informações básicas da ONU
É possível verificar informações básicas da ONU através do OLT, incluindo a versão
ONU, desempenho, chipset, firmware, número de série, entre outras:
»» Informações de versão: incluindo versão atual de software, plataforma de soft-
ware, versão de hardware, BOOTROM versão e assim por diante.
»» Informações de desempenho: incluindo as configurações suportadas pela
ONU e os parâmetros relacionados.
»» Informações do chipset: incluindo ID do fornecedor do chipset, MODEL ID e
assim por diante.
»» Informações de firmware: incluindo o número de firmware da ONU.
»» Informações de número de série: incluindo ID de fornecedor da ONU, ID do
MODELO, endereço MAC, versão do software e versão do hardware e mais.
Visualização de informações básicas da ONU
Obrigatório /
Operação Comando
opcional
Acesso o modo de configuração
configure terminal -
global
Acesse o modo de configuração
onu onu_id Obrigatório
da ONU
Visualização da versão da ONU show onu-version Opcional
onu-
Visualização de informações de show onu-capabitilies capabilities-2 é
desempenho da ONU show onu-capabitilies-2 a extensão de
onu-capabilities
Visualização de informações de
show onu-pon-chip Opcional
chipset da ONU
Visualização de informações de
show onu-firmware Opcional
firmware da ONU
Visualização do número de série
show onu-sn Opcional
da ONU
179
onu 0/1/1 :
onu capability: serviceSupported 2
onu capability: numGEPorts 0
onu capability: geBitmap 0x0
onu capability: numFEPorts 4
onu capability: feBitmap 0xf
onu capability: numPOTSPorts 0
onu capability: numE1Ports 0
onu capability: numUSQueues 1
onu capability: maxQueueUSPort 32
onu capability: numDSQueues 1
onu capability: maxQueueDSPort 20
onu capability: BatteryBackup 0
»» OLT4840E(onu-0/1/1)#show onu-capabilities-2
onu 0/1/1 :
onu capability-2: OnuType SFU
onu capability-2: MultiLLID Not Support
onu capability-2: ProtectionType Not Support
onu capability-2: NumOfPon 1
onu capability-2: NumOfSlot 0
onu capability-2: NumOfInterfaceType 1
onu capability-2: InterfaceType GE
onu capability-2: NumOfPort 4
onu capability-2: BatteryBackup Not Support
»» Exibir a informação do chipset da onu 0/1/1:
OLT4840E(onu-0/1/1)#show onu-pon-chip
Chipset of onu 0/1/1 :
Vendor id :
Model Id :0x0 0xa0
Revision :0x00
IC_Version/Date :19/04/21
»» Exibir as informações de firmware da ONU 0/1/1:
180
OLT4840E(onu-0/1/1)#show onu-firmware
firmware of onu 0/1/1 :
»» Exibir o número de série da ONU 0/1/1:
OLT4840E(onu-0/1/1)#show onu-sn
SN of Onu 0/1/1:
Vendor ID : 0T4R (HEX: 30 54 34 52)
Model : 6838 (HEX: 36 38 33 38)
OnuID(MAC) : 78:30:3b:b0:88:00
HW : CM.1.1.6
SW : OT04R68.1.2.0
9.6. Descrição de ONU
Visão geral da descrição de ONUs
O gerente de rede pode adicionar uma etiqueta de descrição na ONU para distinguir
o serviço provido em cada porta da ONU, de modo a localizar os serviços das portas
da ONU.
Configuração da descrição de ONUs
Obrigatório /
Operação Comando
opcional
Acesso o modo de configuração
configure terminal -
global
Acesse o modo de configuração
onu onu_id Obrigatório
da ONU
Configuração da descrição da
onu-description description Opcional
porta da ONU
Visualização da descrição da
show onu-description Opcional
porta da ONU
182
9.8. ONU-Multicast
Modo de IGMP distribuido
Visão geral do modo de IGMP distribuido
O modo distribuído IGMP refere-se à utilização do IGMP-Snooping para alcançar o
gerenciamento em membros do grupo multicast pela ONU. É usado principalmente
para a entrada/saída dinâmica e manutenção dos membros do grupo através das
mensagens IGMP Report / Leave e IGMP Query. O sistema EPON controla as permis-
sões de usuário simples através da VLAN multicast da porta Ethernet.
Processo de implementação do modo IGMP distribuído
A ONU monitora o modo como o terminal do aplicativo (como um set-top box) en-
caminha as mensagens IGMP para o roteador multicast para formar uma relação de
mapeamento entre os membros do grupo e as interfaces do switch. A ONU encami-
nha o pacote multicast de downlink recebido com o membro do grupo, de acordo
com a tabela de encaminhamento multicast. Ela controla os direitos de acesso multi-
cast de cada porta Ethernet com base em cada porta da VLAN multicast.
Se o IGMP-Snooping ou IGMP proxy estiver habilitado no OLT, ele intercepta todas as
solicitações IGMP encaminhadas e as envia para o roteador de multicast de camada
superior, configurando a associação entre o membro do grupo e a interface PON (ele
também é uma tabela de encaminhamento multicast). O OLT encaminha o pacote
multicast para cada interface PON de acordo com a tabela de encaminhamento.
Multicast controlável
Visão geral de multicast controlável
A idéia central do multicast dinâmico controlável é que o OLT execute a autenticação
de usuário com base nas informações de identificação carregadas na mensagem
IGMP e ajuste a ONU para controlar o encaminhamento dos pacotes multicast, es-
tendendo a mensagem OAM. Os principais princípios são os seguintes:
»» O OLT mantém uma tabela de controle de privilégios de usuários para gerenciar de
forma centralizada o acesso ao serviço de multicast. O OLT usa o LLID do usuário
e a ID da VLAN carregada para identificar a porta (do usuário) e determinar se
ela possui o direito de acesso e os parâmetros do serviço multicast solicitado com
base na tabela. Ele distribui a permissão de acesso da porta para a ONU através
do pacote OAM de controle de multicast estendido, e ela executa o encaminha-
mento ou o desligamento do fluxo de serviço na porta. O OLT é o principal ente do
gerenciamento de direitos de multicast e a ONU é o executor deste gerenciamento
de direitos de multicast.
183
»» A ONU mantém uma tabela de encaminhamento de endereço multicast. Compa-
rado com a tabela de controle multicast do OLT, esta tabela tem uma capacidade
pequena. Ela só processa a função de controle de fluxo do serviço multicast atual
e se atualiza dinamicamente de acordo com o atributo Multicast Control emitido
pelo OLT. A ONU transmite de forma transparente o pacote IGMP Report / Leave
para o OLT com a etiqueta VLAN da porta (usuário). Ela recebe os pacotes OAM
de controle de multicast estendido (incluindo uma série de entradas de controle
de multicast) encaminhadas pelo OLT e adiciona ou elimina as entradas de enca-
minhamento de endereço de grupo local e encaminhamento multicast de acordo
com os pacotes, executando o encaminhamento e o desligamento no fluxo de
serviço multicast correspondente.
Processo de implementação do multicast controlável
Quando um terminal de aplicação multicast (como um set-top box) solicita um ca-
nal multicast específico (por exemplo, o endereço IP XX.XX.XX.XX), ele encaminhará
uma mensagem de Report IGMP para o uplink. Este pacote entra na interface de
usuário Ethernet da ONU, que adiciona a etiqueta VLAN à mensagem. Esta VLAN tem
um valor TPID de 0×8100, um valor CFI de 0 e um valor Pri de 0. O VID é o número
da porta Ethernet que recebeu o pacote de controle IGMP. Se uma mensagem do Re-
latório IGMP já possui uma marca VLAN, o VID é substituído pela etiqueta VLAN que
identifica a porta do usuário. Então, a ONU transmite mensagens de relatório IGMP
para o OLT, ele consulta os direitos de acesso e os parâmetros da porta (usuário) para
o canal de acordo com a identificação da porta (usuário), o endereço IP multicast e o
endereço IP da fonte do pacote Report (Somente para IGMP V3, opcional). De acordo
com os diferentes direitos de acesso dos usuários, o sistema EPON pode ser dividido
nos seguintes processos:
»» Quando a porta (usuário) tem acesso ao canal como “permitir”, o OLT usa um
pacote OAM de controle multicast estendido para notificar a ONU para adicionar
uma entrada de encaminhamento multicast. Ela indica que a porta do usuário tem
permissão para acessar o canal. A ONU estabelece uma tabela de encaminhamen-
to multicast local com base nos pacotes de OAM recebidos e encaminha o fluxo
de serviço de dados multicast do canal para a porta de usuário correspondente.
»» Quando a tabela de consulta OLT exibe que o acesso do usuário ao canal é
“proibido”, o OLT e a ONU não realizam nenhuma ação. Quando um terminal
de aplicação multicast não recebe mensagens IGMP e tráfego multicast por um
determinado período de tempo, a aplicação é encerrada.
184
»» Quando a tabela de consulta OLT exibe que o acesso do usuário ao canal é “pre-
view”, o OLT notifica a ONU para adicionar um item de tabela de encaminhamen-
to multicast (temporário) através de um pacote OAM de multicast estendida. Ao
mesmo tempo, ele inicia um temporizador ou um contador, usado para controlar
a duração da visualização, o número de pré-visualização, o intervalo de pré-visua-
lização e outros parâmetros.
Configuração básica de ONU-IGMP-Snooping
Visão geral da configuração de ONU-IGMP-Snooping
Obrigatório / Detalhes de
Configuração de task
opcional configuração
Configuração básica de Habilitar/desabilitar o onu-gmp-
Obrigatório 1.3.2
ONU-IGMP-Snooping snooping
Configuração da ONU-Multicast
fast leave (saída rápida do Opcional 1.3.3
multicast da ONU)
Configuração do número máximo
Opcional 1.3.4
Afinar e otimizar o de multicast na porta da ONU
ONU-IGMP-Snooping Configuração da VLAN multicast
Opcional 1.3.5
para a porta da ONU
Configuração do modo de tag
os pacotes multicast da porta Opcional 1.3.6
da ONU
Habilitar/desabilitar o ONU-IGMP-Snooping
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
onu slot/pon/onu Obrigatório
configuração da ONU
Deve ser
executado
Visualização do modo do
show onu-multicast mode no modo de
multicast da ONU
configuração
da onu
185
Obs.: no padrão CTC, o IGMP-Snooping multicast da ONU é habilitado e não há
nenhum comando de fechamento direto. Só é possível mudar para o modo Multicast,
ou seja, IGMP-Snooping ou multicast controlável.
Por exemplo:
»» Defina o modo de multicast da ONU como ONU-IGMP-Snooping:
OLT4840E (onu-0/4/1)#onu-multicast mode ONU-IGMP-Snooping
ONU-Multicast mode is already igmp-snooping
Configuração o ONU-Multicast fast leave saída rápida do multicast da ONU)
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
onu slot/pon/onu -
configuração da ONU
Habilitar o ONU-Multicast
onu-multicast fastleave {enable|disable} Obrigatório
fast leave
Deve ser
executado
Visualização do ONU-Multicast
show onu-multicast fastleave no modo de
fast leave
configuração
da ONU
Por exemplo:
»» Habilitar o ONU-Multicast fast leave:
OLT4840E (onu-0/4/1)#onu-multicast fastleave enable
»» Desabilitar o ONU-Multicast fast leave:
OLT4840E (onu-0/4/1)#onu-multicast fastleave disable
Configuração do número máximo de multicast na porta da ONU
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
onu slot/pon/onu Obrigatório
configuração da ONU
186
Obrigatório/
Operação Comando
opcional
Você deve
acessar o
modo de
Acesse o modo de
interface ethernet slot/port configuração
configuração de porta da ONU
da ONU antes
de acessar
este modo
Configuração do número
onu-igmp-snooping group-number
máximo de multicast na porta Obrigatório
group-num
da ONU
Deve ser
Visualização do número executado
máximo de multicast na porta show onu-igmp-snooping no modo de
da ONU configuração
da ONU
Por exemplo:
»» Defina o número máximo de pacotes multicast na porta 1 da ONU 0/4/1 para 7
OLT4840E(config)#onu 0/4/1
OLT4840E(onu-0/4/1)#int ethernet 0/1
OLT4840E(onu-0/4/1-reth-0/1)#onu-igmp-snooping group-number 10
OLT4840E(onu-0/4/1-reth-0/1)#show onu-igmp-snooping
ONU 0/4/1 interface 1
Multicast Vlan : no vlan
Group Number : 10
Configuração da VLAN multicast da porta da ONU
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
onu slot/pon/onu Obrigatório
configuração da ONU
187
Obrigatório/
Operação Comando
opcional
Você deve
acessar o
modo de
Acesse o modo de
interface ethernet slot/port configuração
configuração de porta da ONU
da ONU antes
de acessar
este modo
Configuração da VLAN
multicast de entrada da porta onu-igmp-snooping vlan vlan-list Obrigatório
da ONU
Remover a VLAN multicast de no onu-igmp-snooping vlan {<1-256>
Opcional
entrada da porta da ONU |all}
Deve ser
Visualização da VLAN executado
multicast de entrada da porta show onu-igmp-snooping no modo de
da ONU configuração
da ONU
Obs.: » A VLAN multicast não pode ser a mesma que a VLAN padrão da porta da
ONU e não pode ser VLAN 1.
»» Cada ONU suporta VLAN multicast de forma diferente e as entradas con-
figuradas podem ser diferentes. Para detalhes, consulte a tabela da ONU.
O número máximo de entradas configuradas é de até 64.
Por exemplo:
»» Configure a VLAN multicast para a porta 1 da porta ONU 0 / 4/1 para ser 10-16
OLT4840E(config)#onu 0/4/1
OLT4840E(onu-0/4/1)#int ethernet 0/1
OLT4840E(onu-0/4/1-reth-0/1)#onu-igmp-snooping vlan 10-16
OLT4840E(onu-0/4/1-reth-0/1)#show onu-igmp-snooping
ONU 0/4/1 interface 1
Multicast Vlan : 10-16
Group Number : 10
188
Configuração do modo de tag os pacotes multicast da porta da ONU
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
onu slot/pon/onu Obrigatório
configuração da ONU
Você deve
acessar o
modo de
Acesse o modo de
interface ethernet slot/port configuração
configuração de porta da ONU
da ONU antes
de acessar
este modo
Configuração do modo de tag
os pacotes multicast da porta onu-multicast {tag|untag} Obrigatório
da ONU
Deve ser
Visualização do modo de tag executado
os pacotes multicast da porta show onu-multicast tag no modo de
da ONU configuração
da ONU
Obs.: » O padrão é Tagged e Tagged nos pacotes Multicast. Os pacotes de VLAN não
multicast não são controlados.
»» Os pacotes de VLAN não multicast são controlados no modo Unicast.
Por exemplo:
»» Configure o modo de tag multicast na porta 1 da porta ONU 0 / 4/1 para ser tag:
OLT4840E(config)#onu 0/4/1
OLT4840E(onu-0/4/1)#int ethernet 0/1
OLT4840E(onu-0/4/1-reth-0/1)#onu-multicast tag
Exemplo de configuração do ONU-IGMP-Snooping
»» Requisitos de rede:
»» A rede é conforme:
O PC está conectado à porta e0/1 da ONU e o servidor multicast IPTV está
conectado à porta OLT e0/2 e a ONU e0/1 é configurada com a VLAN 10
de multicast.
189
»» Requisitos de rede: o PC usa o VLC para solicitar uma transmissão de um
canal multicast. O endereço multicast correspondente é 224.1.1.1. O PC pode
receber os pacotes de serviço multicast com o VLAN 10 do servidor multicast
IPTV enquanto outros pacotes multicast não podem ser recebidos e o serviço
unicast não pode ser afetado.
»» Passos de configuração:
»» Configuração do OLT:
»» Crie a VLAN 10:
OLT4840E (config)#vlan 10
»» Adicionar as portas e0/2 e p0/1 do OLT a VLAN 10:
OLT4840E (config-if-vlan)#switchport ethernet 0/2
OLT4840E (config-if-vlan)#switchport pon 0/1
»» Configure a porta p0/1 do OLT vlan 10 como atributo tag:
OLT4840E (config)#interface pon 0/1
OLT4840E (config-if-pon-0/1)#switchport hybrid tagged vlan 10
»» Configuração ONU (distribuída através do OLT), a ONU funciona no modo
Transparente:
OLT4840E (config)#onu 0/4/1
»» Configure a função de multidifusão da ONU no modo Igobs-snooping:
OLT4840E (onu-0/4/1)#onu-multicast mode onu-igmp-snooping
»» Entre na porta ONU 1:
OLT4840E (onu-0/4/1)#interface ethernet 0/1
»» Defina a VLAN multicast como sendo 10 na porta ONU 1:
OLT4840E (onu-0/4/1-reth-0/1)#onu-igmp-snooping vlan 10
»» Verificar resultados:
»» Exiba a VLAN multicast ONU:
OLT4840E (config)#onu 0/4/1
190
OLT4840E (onu-0/4/1)#interface ethernet 0/1
OLT4840E (onu-0/4/1-reth-0/1)#show onu-igmp-snooping
ONU 0/4/1 interface 1
Multicast Vlan : 10 // A VLAN multicast é 10
Group Number :255
»» A fonte de multicast IPTV encaminha pacotes de multicast com o VLAN 10, que
o PC pode receber normalmente. O PC não pode receber os pacotes do serviço
multicast com outras VLANs. O serviço unicast do PC não é afetado.
Configuração básica do ONU-Multicast-Ctrl
Visão geral da configuração básica do ONU-Multicast-Ctrl
Obrigatório / Detalhes de
Configuração de task
opcional configuração
Configuração básica de Habilitar/desabilitar o ONU-
Obrigatório 1.4.2
ONU-IGMP-Ctrl GMP-Ctrl
Configuração da ONU-
Multicast fast leave (saída Opcional 1.4.3
rápida do multicast da ONU)
Configuração do modo de tag
os pacotes multicast da porta Opcional 1.4.4
da ONU
Afinar e otimizar o
Configuração da entrada
ONU-IGMP-Snooping
controlada do multicast da Opcional 1.4.5
ONU
Configuração do modelo de
Opcional 1.4.6
controle do multicast da ONU
Habilitar/desabilitar ONU-Multicast-Ctrl
Obs.: o snooping IGMP deve ser ativado no OLT, porque o multicast controlável é
controlado no OLT. Ative o IGMP-Snooping para habilitar o IGMP Report / Leave
mensagens a serem processadas pela CPU OLT.
Por exemplo:
EPON(onu-0/4/1)#onu-multicast mode onu-multicast-ctrl
191
Configuração do ONU-Multicast fast leave
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
onu slot/pon/onu Obrigatório
configuração da ONU
Habilitar o ONU-Multicast
onu-multicast fastleave {enable|disable} Obrigatório
fast leave
Deve ser
executado
Visualização do ONU-Multicast
show onu-multicast fastleave no modo de
fast leave
configuração
da ONU
Por exemplo:
»» Habilitar o ONU-Multicast fast leave:
QptiWay (onu-0/4/1)#onu-multicast fastleave enable
»» Desabilitar o ONU-Multicast fast leave:
OLT4840E (onu-0/4/1)#onu-multicast fastleave disable
Configuração do modo de tag dos pacotes multicast da porta da ONU
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
onu slot/pon/onu -
configuração da ONU
Você deve
acessar o
modo de
Acesse o modo de
interface ethernet slot/port configuração
configuração de porta da ONU
da ONU antes
de acessar
este modo
Configuração do modo de tag
os pacotes multicast da porta onu-multicast {tag|untag} Obrigatório
da ONU
192
Obrigatório/
Operação Comando
opcional
Deve ser
Visualização do modo de tag executado
os pacotes multicast da porta show onu-multicast tag no modo de
da ONU configuração
da ONU
Obs.: o padrão é Tagged e Tagged nos pacotes multicast. Os pacotes de VLAN não
multicast não são controlados. Os pacotes de VLAN não multicast são controlados
no modo Unicast.
Configuração da entrada controlada do multicast da ONU
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
onu slot/pon/onu Obrigatório
configuração da ONU
Configuração da entrada onu-multicast-ctrl
controlada do multicast da {deny|permit|preview} mac-address Obrigatório
ONU port-id vlan-id
no onu-multicast-ctrl [mac mac-address
Remover o controle de entrada
|port-id Opcional
do multicast da ONU
port-id | vlan vlan-id ]
Deve ser
executado
Visualização do controle de show onu-multicast-ctrl {interface
no modo de
entrada do multicast da ONU |local-ctrl |}
configuração
da ONU
Obs.: » As entradas multicast controláveis têm três tipos de regras de autoridade, ou
seja, proibir, permitir e visualizar. Quando configurado para ser proibido, o
usuário não possui permissão para receber o pacote multicast. Se configurado
para ser permitido, o usuário pode receber o fluxo multicast de forma contí-
nua. Se configurado para ser pré-visualização, o usuário pode receber o fluxo
multicast, mas o tempo de pré-visualização, o intervalo e o número de vezes
são limitados.
»» Quando a entrada controlável é excluída, a ordem de entrada de cada parâ-
metro não é restrita.
193
Configuração dos parâmetros do multicast controlável
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração do número Opcional,
onu-multicast-ctrl channel-number
máximo do multicast que pode por padrão é
channel-num
ser controlado 1024
Configuração do tempo de Opcional,
envelhecimento do multicast onu-multicast-ctrl live-time live-time por padrão é
controlável 300s
Configuração do número de onu-multicast-ctrl preview-times Opcional, por
pré-visualização de multicast preview-time padrão é 5
Opcional,
Configuração do intervalo de onu-multicast-ctrl time-interval
por padrão é
pré-visualização de multicast interval-time
300s
Configuração do tempo para Opcional,
uma pré-visualização de onu-multicast-ctrl time-once one-time por padrão é
multicast 180s
Configuração do tempo de Opcional,
reposição da pré-visualização onu-multicast-ctrl time-reset reset-time por padrão é
multicast 3600s
Restaurar os parâmetros no onu-multicast-ctrl {all |channel-
padrão do multicast number| live-time | preview-times | Opcional
controlável time-interval | time-once | time-reset }
Deve ser
Visualização dos parâmetros
show onu-multicast-ctrl executado no
do multicast controlável
modo Global
Por exemplo:
»» Exiba os parâmetros de multicast controláveis:
QptiWay (config)#show onu-multicast-ctrl
the channel number at one time : 1024
the live time : 300(s)
preview time once : 180(s)
preview interval : 300(s)
preview times : 5
preview reset : 3600(s)
194
Exemplo de configuração da ONU-Multicast-Ctrl
»» Requisitos de rede:
O PC usa o VLC para solicitar uma transmissão de um canal. O endereço multicast
correspondente é 224.1.1.2. O PC pode receber os pacotes de serviços multicast
com o VLAN 100 do servidor dE IPTV enquanto outros pacotes multicast não podem
ser recebidos e o serviço unicast não pode ser afetado.
195
Port MulticastMAC VLANID Type Online Channel Preview Profileflag
1 01:00:5e:01:01:02 100 permit Y 1 NULL 0
Total number of channels : 1 Total number of channels on-line : 1
O PC pode receber os pacotes de serviços multicast com o VLAN 100 e o MAC
de destino como 01:00:5e:01:01:02 distribuídos pela fonte IPTV e os pacotes
multicast de outras VLANs não podem ser recebidos.
196
»» Carregue o arquivo de atualização da ONU B01D004P2 para o OLT:
OLT4840E#load onu-image tftp inet 1.1.1.1 4P2.mif
Downloading application via TFTP...
Download application via TFTP successfully.
»» Verifique a versão ONU e execute a atualização:
OLT4840E(onu-0/4/2)#show onu-sn
Vendor ID : EPON
MODEL : 2400
ONUID(MAC) : 00:0a:5a:00:01:01
HW : V3.0
SW : B01D004P1
OLT4840E(onu-0/4/2)#onu-ctc-upgrade
CTC ONU(0/4/2) upgrade start ... WAIT PLEASE...
CTC ONU(0/4/2) upgrade complete.
CTC upgrade OK,please COMMIT after onu reboot!
»» Confirmação da atualização. Se a atualização não for realizada, a ONU voltará a
B01D004P1 após a reinicialização:
OLT4840E(onu-0/4/2)#onu-ctc-upgrade-commit
Commit image request/response successful
»» Exibir a versão da ONU e deve mostrar que foi atualizada para o B01D004P2
com sucesso.
OLT4840E(onu-0/4/2)#show onu-sn
Vendor ID : EPON
MODEL : 2400
ONUID(MAC) : 00:0a:5a:00:01:01
HW : V3.0
SW : B01D004P2
9.10. Reinicialização da ONU
Visão geral da reinicialização da ONU
A função de reiniciar da ONU permite que você reinicie remotamente um dispositivo
ONU sem ter que se deslocar para o ponto onde ela está.
197
Configuração da reinicialização da ONU
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
onu slot/pon/onu Obrigatório
configuração da ONU
Reinicializar a ONU onu-reboot Obrigatório
Exemplo de aplicação da reinicialização da ONU
»» Reinicie a ONU 0/4/2:
OLT4840E(onu-0/4/2)#onu-reboot
Are you sure you want to proceed with the system reboot(y/n)?[n]y
OLT4840E(onu-0/4/2)#
2016/11/07 17:58:13
EVENT (onu status): Dereg 0/4/2 mac 00:0a:5a:00:01:01 reason: ONU TIMEOUT,
type
1G/1G
Timeout: command_type 3; leaf ff; llid 0.
2016/11/07 17:58:21
EVENT (onu status): Reg 0/4/2 mac 00:0a:5a:00:01:01 reason: Auth passed, type
1G/1G
198
9.11. Descrição do sistema da ONU
Visão geral da descrição do sistema da ONU
O papel principal da descrição do sistema da ONU é distinguir as ONUs de diferentes
fabricantes ou identificar uma ONU. Uma vez que o usuário downstream está anor-
mal, é possível localizar e analisar uma ONU específica rapidamente.
Configuração da descrição do sistema da ONU
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
onu slot/pon/onu Obrigatório
configuração da ONU
Descrição do sistema da ONU onu-description onu-name Obrigatório
Visualização da descrição do
show onu-description Opcional
sistema da ONU
Visualização das ONUs
show pon Opcional
conectadas
OLT4840E(config)#show pon
ONU Mac Address LLID RTT REG-TYPE ONU-TYPE Description
0/4/1 00:0a:5a:ff:ff:69 0000 14 1G/1G other intelbras
0/4/2 00:0a:5a:00:01:01 0001 14 1G/1G 2400
Total onu entries: 2 .
199
9.12. Detecção de loop remoto de ONU
Visão geral da função da detecção de loop remoto de ONU
A ONU deve suportar a função de detecção de loop da porta Ethernet e da porta DSL.
Além disso, ao detectá-lo, ela deve desativar a porta e, em seguida, disparar o alarme.
A interface Ethernet e a interface VDSL2 conectada à ONU devem ser capazes de su-
portar o protocolo Rapid Spanning Tree Protocol (RSTP) que atenda ao IEEE 802.1D.
Visão geral da configuração de detecção de loop remoto da ONU
Obrigatório / Detalhes de
Configuração de Task
opcional configuração
Detecção de loop remoto
Configurações básicas da Opcional 1.3
da ONU
detecção de loop remoto
da ONU Função de spanning tree
Opcional 1.4
da ONU
200
OLT ODN ONU Dispositivo
»» Passos de configuração:
»» Acesse a ONU e habilite a detecção de loop remoto
OLT4840E(config)#onu 0/1/1
OLT4840E(onu-0/1/1)#onu-spanning-tree remote-loop-detect
»» Verificação dos resultados:
»» Depois que a detecção de loop remoto estiver ativada, os pacotes com o núme-
ro de protocolo 0×5524 são enviados a cada 10 segundos.
Depois que a ONU detectar o loop, ele bloqueará a porta e imprimirá a mensa-
gem de detecção de loop no OLT.
OLT4840E(onu-0/1/1)#
2016/11/10 09:34:33 EVENT (onu-port status): 0/1/2 Port 2 BLOCK_LOOP_DETECT
»» Depois que o loop é removido, o status da porta da ONU é restaurado ao estad
normal e a liberação do loop é impresso no prompt do OLT.
OLT4840E(onu-0/1/1)#
2016/11/10 09:35:18 EVENT (onu-port status): 0/1/2 Port 2 BLOCK_LOOP_CLEAR
Função de spanning tree da ONU
Configuração da função do spanning tree da ONU
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
onu onu-id Obrigatório
configuração da ONU
201
Obrigatório/
Operação Comando
opcional
Para habilitar
esta função,
a detecção de
loop da ONU
deve estar
desativada.
Habilitar o spanning tree
onu-spanning-tree Você deve
da ONU
escolher uma
das duas
funções e não
poderá utilizar
as duas ao
mesmo tempo.
Desabilitar o spanning tree
no onu-spanning-tree Opcional
da ONU
Configuração do atraso de
encaminhamento do spanning onu-spanning-tree forward-time time Opcional
tree da ONU
Configuração do intervalo para
a mensagem Hello do spanning onu-spanning-tree hello-time time Opcional
tree da ONU
Configuração do tempo de
envelhecimento do spanning onu-spanning-tree maxage time Opcional
tree da ONU
Configuração da prioridade do
onu-spanning-tree priority priority Opcional
spanning tree da ONU
Visualização da configuração
show onu-spanning-tree Opcional
de spanning tree da ONU
Obs.: » Ao configurar Forward Delay / Hello Time / Max Age, eles devem atender a
essa expressão relacional:
»» 2 * (Forward Delay -1)> = Max Age> = 2 * (Hello Time + 1).
202
Exemplo de configuração do spanning tree da ONU
»» Requisito de rede:
Explicação de rede ----- conectando um switch na porta 2 e na porta 3 da ONU
para fazer com que ele formasse um loop.
Dispositivo
»» Passos de configuração:
»» Acesse a ONU e habilite a função de spanning tree:
OLT4840E(config)#onu 0/1/1
OLT4840E(onu-0/1/1)#onu-spanning-tree
Tanto o dispositivo 1 como o dispositivo 2 devem habilitar o RSTP. Além disso,
configure a prioridade da bridge para tornar o dispositivo 1 como Bridge Root, o
dispositivo 2 ocupando o segundo lugar e a prioridade da bridge da ONU para ser
a mais baixa.
»» 3. Verificação de resultados:
»» A porta 2 da ONU sendo selecionada como porta root, a porta 3 é selecionada
como a porta alternativa sendo bloqueada e as informações do loop detectado
são impressas no prompt do OLT.
OLT4840E(onu-0/1/1)# 2016/11/10 10:49:24 EVENT (onu-port status): 0/1/1
Port 3
BLOCK_LOOP_DETECTED
203
»» Depois de desconectar o cabo de rede entre a ONU e o Dispositivo 2, exibirá a
informação de liberação do loop no OLT.
OLT4840E(onu-0/1/1)#2016/11/10 10:51:08 EVENT (onu-port status): 0/1/1
Port 3
BLOCK_LOOP_CLEAR
9.13. PSG
Visão geral da função PSG
Existem várias ONUs que compartilham uma largura de banda óptica no sistema
EPON, por isso é necessário fornecer arquitetura de proteção para garantir sua co-
municação e evitar perda de tráfego.
O PSG é uma sigla para o Grupo de Comutação de Proteção (protection switching
group). É constituído por um par de fibras ópticas, adotando divisor ótico 2: N. Um
dos links deve ser configurado como mestre, e o outro como backup. O fluxo de trá-
fego normal é transmitido pelo link óptico mestre, se a interrupção ocorrer, ele será
transferido para o link óptico de backup.
Existem dois tipos de troca de link:
»» Troca automática: causada por descoberta de falhas, por exemplo, LOS (perda
de sinal) ou sinal degradado.
»» Troca forçada: causado por um evento gerencial.
Tipos de troca de link óptico
A função de troca do OLT está em conformidade com o tipo A do padrão CTC3.0 de
telecomunicações, ou seja, duas portas PON do OLT adotam um chipset PON MAC
para realizar a proteção através de um link de chave elétrica 1: 2 que se conecta a
dois módulos ópticos.
As informações de serviço da porta principal do OLT podem ser sincronizada com a
porta de backup, para garantir que o serviço ONU permaneça o mesmo durante a
troca.
Critérios de troca de link óptico
No sistema EPON, as condições de disparo da troca incluem:
»» Perda de sinal de entrada (LoS).
Isso pode ser devido a perda do sinal físico perdido ou não recebimento do relatório
MPCPDU pela ONU.
204
»» Canal de entrada degradado.
»» O sinal óptico de entrada é muito alto ou muito baixo.
»» Taxa de erro acima do limite.
»» Falha de hardware do dispositivo.
»» Falha do módulo óptico.
»» Mecanismo de troca (camada lógica):
»» Troca automática:
Após o OLT detectar os eventos de falha do link, ele determinará se ela está no
tronco ou no ramo da rede. Se for o primeiro caso, ele iniciará a proteção PON ime-
diatamente. Se for o segundo caso, ele não iniciará a troca de PON.
»» Troca forçada:
Depois que o OLT receber o comando da troca forçada do gerente de rede, ele irá
desativar imediatamente o módulo óptico da interface óptica mestre, habilitando
o módulo óptico da interface óptica de backup, trocando o tráfego da ONU para a
porta PON de backup.
Visão geral da configuração do PSG
Obrigatório / Detalhes de
Configuração de task
opcional configuração
Desabilitar uma porta PON Obrigatório 1.5
Estabelecer um grupo PSG Obrigatório 1.6
Configurações básicas Habilitar o grupo PSG Obrigatório 1.7
do PSG
Executar a troca manual da
porta mestra para a porta Opcional 1.8
backup no grupo PSG
205
Obrigatório/
Operação Comando
opcional
admin-enable-pon slot slot_id pon Por padrão
Habilitar uma pota PON
port_id está habilitado
Visualização das porta
show admin-enable-pon slot slot_id Opcional
habilitadas
Obs.: » Somente quando a porta PON está desativada, você pode estabelecer o
grupo PSG.
»» Se você estiver usando essa abordagem para desativar a porta PON, você
pode desabilitar a porta PON em vez da porta NNI.
Exemplo para desabilitar uma porta PON
»» Desabilite a porta PON 1 e a porta PON 3 do slot 4:
OLT4840E(config)#no admin-enable-pon slot 0 pon 3
OLT4840E(config)#no admin-enable-pon slot 0 pon 4
»» Exiba o estado das portas PON do slot 4:
OLT4840E(config)#show admin-enable-pon slot 0
PON port administrative status
pon 0/1: admin-up
pon 0/2: admin-up
pon 0/3: admin-down
pon 0/4: admin-down
Estabelecer um grupo PSG
Estabelecer um grupo PSG
Obrigatório/
Operação Comando
opcional
Acesse o modo de configuração global configure terminal -
psg creat slot slot_id psg-id
Estabelecer um grupo PSG psg-id active-pon pon-id Obrigatório
standby-pon pon-id
psg delete slot slot_id psg-
Remover um grupo PSG Opcional
id psg-id
Visualização das informações do grupo PSG show psg slot slot_id Opcional
206
Exemplo de configuração para estabelecer um grupo PSG
»» O slot # OLT 4 cria o grupo PSG 1, com a porta PON 1 para ser a porta mestre e a
porta PON 3 para ser a porta backup.
OLT4840E(config)#psg creat slot 0 psg-id 1 active-pon 3 standby-pon 4
#Exiba as informações do grupo PSG
OLT4840E(config)#show psg slot 0
psg id active pon standby pon administrative status
1 pon-0/3 pon-0/4 admin-up
Troca manual entre portas mestre e backup do grupo PSG
Troca manual entre portas mestre e backup do grupo PSG
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Troca manual entre portas
psg switch slot slot_id psg-id psg_id Obrigatório
mestre e backup do grupo PSG
Obs.: a troca manual é igual a um comando de troca forçada, que irá mudar da porta
mestre para a porta de backup. Naquele momento, o módulo óptico da interface será
desabilitado imediatamente e, em seguida, habilitará o seu backup.
Exemplo de troca manual entre portas mestre e backup do grupo PSG
»» Troque manualmente entre portas mestre e backup do grupo PSG 1 no slot 0:
OLT4840E(config)#psg switch slot 0 psg-id 1
Exemplo de configuração integrada do PSG
»» Requisito de rede:
»» A rede é a seguinte: o OLT se conecta com divisor óptico 2: N e múltiplas
ONUs. Isso exige que, se houver algo errado em um link óptico de OLT PON,
a porta ONU-PON pode ser alterada automaticamente para outra porta, e o
serviço permanece o mesmo.
207
Tester B
ONU1
P0/1
Tester A
P0/2
POS
OLT
ONU2
»» Passos de configuração:
»» Disabilitar a porta PON:
OLT4840E(config)#no admin-enable-pon slot 0 pon 1
OLT4840E(config)#no admin-enable-pon slot 0 pon 2
»» Estabelecer um grupo PSG:
OLT4840E(config)#psg creat slot 0 psg-id 1 active-pon 1 standby-pon 2
»» Passos de teste:
»» Insira a fibra óptica da porta PON mestre para deixar a ONU on-line primeiro
e, em seguida, insira a fibra óptica da porta PON de backup para verificar o
estado das informações de logon da ONU e as informações de configuração
da ONU.
»» A porta A e a porta B do testador com a porta da ONU e a porta OLT GE, res-
pectivamente, e, em seguida, enviam o unicast conhecido para o outro; desco-
necte a fibra óptica da porta PON mestre para verificar a informação de logon
da ONU e as informações de encaminhamento de pacotes.
»» Verificação de resultados:
»» Registro da ONU como a porta PON mestre, ONU-ID é o ID da porta PON
Mestre:
OLT4840E(config)#show running-config onumnt
![ONUMNT]
onu 0/1/1
onu-binding mac 00:0a:5a:ff:ff:69
onu-binding type other
onu-description aa
onu-port-isolation ethernet 0/1 ethernet 0/4
208
no onu-spanning-tree remote-loop-detect
onu-spanning-tree
interface pon 0/0
exit
interface ethernet 0/1
onu-bandwidth ingress cir 100 cbs 1600 ebs 2
onu-bandwidth egress cir 100 pir 300
exit
interface ethernet 0/2
exit
interface ethernet 0/3
exit
interface ethernet 0/4
exit
onu 0/3/2
onu-binding mac 00:0a:5a:00:01:01
onu-binding type 2400
onu-description weerv
onu-port-isolation ethernet 0/1 to ethernet 0/4
interface pon 0/0
exit
interface ethernet 0/1
exit
interface ethernet 0/2
exit
interface ethernet 0/3
exit
interface ethernet 0/4
exit
209
»» Depois de desconectar a fibra óptica da porta Mestre PON, não ocorre o prompt
off da ONU. Ao verificar a informação de logon da ONU, mostra que ONU-ID foi
alterada para ser a identificação da porta PON de backup e o número de série
do ONU-Index permanece o mesmo. Além disso, o envio e o envio de pacotes
do testador não apresentam interrupção.
OLT4840E(config)#show running-config onumnt
![ONUMNT]
onu 0/2/1
onu-binding mac 00:0a:5a:ff:ff:69
onu-binding type other
onu-description aa
onu-port-isolation ethernet 0/1 ethernet 0/4
no onu-spanning-tree remote-loop-detect
onu-spanning-tree
interface pon 0/0
exit
interface ethernet 0/1
onu-bandwidth ingress cir 100 cbs 1600 ebs 2
onu-bandwidth egress cir 100 pir 300
exit
interface ethernet 0/2
exit
interface ethernet 0/3
exit
interface ethernet 0/4
exit
onu 0/4/2
onu-binding mac 00:0a:5a:00:01:01
onu-binding type 2400
onu-description weerv
onu-port-isolation ethernet 0/1 to ethernet 0/4
210
interface pon 0/0
exit
interface ethernet 0/1
exit
interface ethernet 0/2
exit
interface ethernet 0/3
exit
interface ethernet 0/4
exit
9.14. FEC
Visão geral de FEC
FEC é a sigla de Forward Error Correction (Encaminhamento de correção de erro),
usando o byte de paridade para substituir uma parte do espaço entre pacotes com
base na estrutura original do quadro, de modo a verificar os dados. O equipamento
suporta a correção de erro de duas vias, ou seja, o equipamento da nossa empresa
suporta na porta PON e na ONU, abrindo essa função.
Esta função pode efetivamente reduzir a taxa de erro de bits para satisfazer os re-
quisitos do sistema de comunicação de fibra óptica de alto desempenho; ela pode
reduzir o orçamento de energia de emissão laser e seu consumo de modo a aumentar
a distância de transmissão máxima de sinais ópticos; existem também algumas defi-
ciências da FEC, por exemplo, ela aumentará os custos, a complexidade do sistema e
assim por diante. No entanto, no ponto de vista geral as vantagens da FEC superam
em muito as suas desvantagens.
Habilitar/desabilitar o FEC na ONU
Habilitar/desabilitar o FEC na ONU
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal Obrigatório
configuração global
211
Obrigatório/
Operação Comando
opcional
Acesse o modo de interface
onu onu_id Obrigatório
PON
Habilitar o FEC na interface
onu-fec mode enable Obrigatório
PON
Opcional, por
Desabilitar o FEC na interface
onu-fec mode disable padrão está
PON
desabilitado
Opcional,
Visualização do estado do FEC funciona
show onu-fec
na ONU apenas no
modo de ONU
Tester A Tester B
»» Etapas de configuração:
»» Entre no modo de configuração da ONU e habilite o FEC.
OLT4840E(config)#onu 0/1/1
OLT4840E(onu-0/1/1)#onu-fec mode enable
»» Verificação do resultado:
A velocidade de recepção da porta A permanece igual à anterior e a velocidade de
recepção da porta B diminui pelo menos 30%.
212
9.15. Detecção dos parâmetros ópticos da ONU
Visão geral da detecção dos parâmetros ópticos da ONU
A ONU deve ser capaz de suportar a função de detecção de parâmetros do trans-
ceiver óptico com base no SFF-8472 / SFF-8077i, incluindo temperatura operacional,
tensão de alimentação, corrente de polarização, potência transmitida, potência re-
cebida e assim por diante. Além disso, ela deve ser capaz de suportar a calibração
interna do valor de detecção dos indicadores acima (não requer módulo óptico para
suportar a calibração interna do valor de detecção de indicadores, pois a ONU pode
realizar a calibração interna do valor de detecção de indicadores no módulo óptico).
Os requisitos para a função de detecção de parâmetros da ONU do transceptor óp-
tico são os seguintes:
»» Temperatura de operação do módulo óptico: apresentada por 16 dígitos
binários com os caracteres, e a unidade será 1/256 °C. Isso significa que o inter-
valo de valores é de -128 °C a + 128 °C, e a precisão da medição deve estar na
faixa de ± 3 °C. A temperatura de funcionamento do módulo óptico deve estar
em conformidade com as Tabelas 3.13 e Tabelas 3.14 no SFF-8472 Draft 10Dot3
Dec. 2007.
»» Tensão de alimentação do módulo óptico: apresentada por inteiro 16 dígi-
tos, e a unidade será 100MV. Isso significa que o intervalo de valores é de 0 a 6,55
V, e a precisão da medição deve estar na faixa de ± 3%. Este parâmetro refere-se
à tensão de alimentação do transmissor óptico.
»» Corrente de polarização do transmissor óptico: apresenta 16 dígitos inteiros
e a unidade de 2μA. Isso significa que o intervalo de valores é de 0 mA a 131 mA, e
a precisão da medição deve estar na faixa de ± 10%.
»» Potência transmitida do transmissor óptico: apresentada por um número
inteiro de 16 dígitos e a unidade de 0.1 uW. Isso significa que o intervalo de va-
lores é de 0 mW a 6.5535 mW (-40 dBm ~ + 8.2 dBm ou mais), e a precisão da
medição deve estar na faixa de ± 3dB.
»» Potência recebida do transceptor óptico: refere-se à potência óptica média
recebida pela ONU, apresentada por um número inteiro de 16 dígitos e a unida-
de de 0.1 uW. Isso significa que o intervalo de valores é de 0 mW a 6.5535 mW
(-40 dBm ~ + 8.2 dBm ou mais), e a precisão da medição deve estar na faixa de
±2 dB e varia de -30 dBm a 10 dBm.
213
Quando um parâmetro ou vários parâmetros do transceptor óptico da ONU são mui-
to baixos ou muito altos (tomando o limite configurado como referência), a ONU en-
viará o Alarme ou o Aviso correspondente através do Event Notification (notificação
de evento). Os tipos de alarme e aviso incluem TempHighAlarm, TempLowAlarm, Vc-
cHighAlarm, VccLowAlarm, TXBiasHighAlarm, TXBiasLowAlarm, TXPowerHighAlarm,
TXPowerLowAlarm, RXPowerHighAlarm, RXPowerLowAlarm, TempHighWarning,
TempLowWarning, VccHighWarning, VccLowWarning, TXBiasHighWarning, TXBias-
LowWarning, TXPowerHighWarning, TXPowerLowWarning, RXPowerHighWarning,
RXPowerLowWarning.
Visão geral da configuração da detecção dos parâmetros ópticos da
ONU
Visão geral da configuração da detecção dos parâmetros ópticos da ONU
Obrigatório / Detalhes de
Configuração de task
opcional configuração
Visualização dos parâmetros
Configuração básica da Opcional 2.3
ópticos da ONU
detecção de parâmetros
ópticos da ONU Alarmes para os parâmetros
Opcional 2.4
ópticos da ONU
214
Exemplo de visualização dos parâmetros ópticos da ONU
»» Exiba os parâmetros ópticos da onu-0/4/1:
OLT4840E(config)#onu 0/4/1
OLT4840E(onu-0/4/1)#show onu-opm-diagnosis
ONU: 0/4/1
Optical Transceiver Diagnosis :
Work Temperature : 38.25 C
Supply Voltage(Vcc) : 3.29 V
TX Bias Current : 16.99 mA
TX Power(Output) : 1.445 mW (3.00 dBm)
RX Power(Input) : 0.573 mW (-2.40 dBm)
Alarmes para os parâmetros ópticos da ONU
Configuração de alarmes dos parâmetros ópticos da ONU
Obrigatório /
Operação Comando
opcional
215
Obrigatório /
Operação Comando
opcional
Configuração do alarme de onu-opm-threshold rx-high-alarm
Opcional
potência máxima de recebimento optical_power
Configuração do alerta de onu-opm-threshold rx-high-warning
Opcional
potência máxima de recebimento optical_power
Configuração do alarme de onu-opm-threshold rx-low-alarm
Opcional
potência mínima de recebimento optical_power
Configuração do alerta de onu-opm-threshold rx-low-warning
Opcional
potência mínima de recebimento optical_power
Configuração do alarme de onu-opm-threshold temp-high-alarm
Opcional
temperatura máxima temperature
Configuração do alerta de onu-opm-threshold temp-high-warning
Opcional
temperatura máxima temperature
Configuração do alarme de onu-opm-threshold temp-low-alarm
Opcional
temperatura mínima temperature
Configuração do alerta de onu-opm-threshold temp-low-warning
Opcional
temperatura mínima temperature
Configuração do alarme de onu-opm-threshold tx-high-alarm
Opcional
potência máxima de transmissão optical_power
Configuração do alerta de onu-opm-threshold tx-high-warning
Opcional
potência máxima de transmissão optical_power
Configuração do alarme de onu-opm-threshold tx-low-alarm
Opcional
potência mínima de transmissão optical_power
Configuração do alerta de onu-opm-threshold tx-low-warning
Opcional
potência mínima de transmissão optical_power
Configuração do alarme de onu-opm-threshold voltage-high-alarm
Opcional
tensão máxima voltage
Configuração do alerta de tensão onu-opm-threshold voltage-high-warning
Opcional
máxima voltage
Configuração do alarme de onu-opm-threshold voltage-low-alarm
Opcional
tensão mínima voltage
Configuração do alerta de tensão onu-opm-threshold voltage-low-warning
Opcional
mínima voltage
Visualização dos parâmetros
show onu-opm-threshold Opcional
ópticos
216
Obs.: ao configurar o parâmetro de alarme/alerta para a potência mínima de rece-
bimento/transmissão, você deve configurar as opções de alerta antes de configurar
as suas opções.
Exemplo de alarmes de parâmetro óptico da ONU
»» Requisitos de rede:
»» Explicação da rede: defina o alarme de potência máxima de transmissão da
ONU como sendo 1 dBm e o alerta de potência mínima recebida para -1 dBm.
»» Passos de configuração:
Antes de ativar o alarme de parâmetro óptico, você deve configurar as opções de
valores de limite relacionados.
OLT4840E (onu-0/4/1)#onu-opm-threshold tx-high-warning 1 rx-low-warning -1
OLT4840E (onu-0/4/1)#onu-opm-alarm enable
»» Verifique o resultado:
Visualize o parâmetro óptico atual da ONU, todos os quais excederam o valor de
limite configurado.
OLT4840E(onu-0/4/1)#show onu-opm-diagnosis
ONU: 0/4/1
»» Optical Transceiver Diagnosis :
Work Temperature : 38.25 C
Supply Voltage(Vcc) : 3.29 V
TX Bias Current : 17.5 mA
TX Power(Output) : 1.449 mW (3.00 dBm)
RX Power(Input) : 0.549 mW (-2.60 dBm)
»» Os alarmes serão exibidos a cada 10 segundos.
OLT4840E (onu-0/4/1)#
217
EVENT (onu opm alarm): on onu 0/4/1
TX Power High Warnning
RX Power Low Warnning
EVENT (onu opm alarm): on onu 0/4/1
TX Power High Warnning
RX Power Low Warnning
9.16. DBA
Visão geral do DBA
DBA (Alocação de largura de banda dinâmica): o OLT obtém as informações de trân-
sito de cada ONU de acordo com sua solicitação de largura de banda em tempo real,
e aloca dinamicamente sua largura de banda de upstream através de um algoritmo
específico para garantir que os quadros de dados não colidam um com o outro.
O sistema EPON controla a mensagem GATE e a mensagem REPORT através do
MPCP, obtendo alocação dinâmica de largura de banda.
Visão geral da configuração de DBA
»» Visão geral da configuração de DBA:
Obrigatório/ Informação
Configuração da atividade
opcional detalhada
Configuração da largura de
Opcional 1.3
banda de uplink
Configurações básicas de DBA
Configuração da largura de
Opcional 1.4
banda de downlink
218
Largura de banda de uplink
Configuração da largura de banda de uplink
»» Configuração do modo sem autenticação:
Obrigatório/
Operação Comando
opcional
Acesse o modo de configuração
Configure terminal -
global
Acesse o modo de configuração
Onu slot/pon/onu Obrigatório
da ONU
Configuração da largura de Onu-bandwidth upstream{fir|cir|pir } weight
Opcional
banda de uplink weight-id
Visualização da largura de banda
Show onu-bandwidth upstream Opcional
da uplink
Obs.: no modo de hardware com ajuste periódico dinâmico, o valor FIR deve ser 0 e
o CIR total não pode ser superior a 955000. Os parâmetros devem estar em confor-
midade com: fir <= cir <= pir.
Exemplo de configuração da largaura de banda de uplink
»» Requisitos de rede:
Explicação da rede ----- A ONU regista no OLT, desabilita a transmissão, multi-
cast e a supressão unicast desconhecida na porta OLT. Configure a largura de
banda de uplink CIR da ONU para 100 e o PIR seja 1000.
Tester A Tester B
»» Etapas de configuração:
»» Configure a largura de banda de uplink de ONU 0/4/1:
OLT4840E(config)#onu 0/4/1
OLT4840E(onu-0/4/1)#onu-bandwidth upstream fir 0 cir 100 pir 1000
weight 10
219
# Exiba a largura de banda de uplink de ONU 0/4/1:
OLT4840E(onu-0/4/1)#show onu-bandwidth upstream
ONU:0/4/1
upstream : fir= 0 cir=100 pir=1000 weight=10
»» Verifique o resultado:
»» O testador A envia pacotes unicast desconectados de velocidade de fio. O testa-
dor B pode receber pacotes com a taxa de 1000 ou mais, e a taxa real é de cerca
de 5% com 1000. Comparada com a taxa real, a diferença é de cerca de 5%.
Largura de banda de downlink
Configuração da largura de banda de downlink
Obrigatório/
Operação Comando
opcional
Acesse o modo de configuração
configure terminal -
global
Acesse o modo de configuração
onu slot/pon/onu Obrigatório
da ONU
Configuração da largura de onu-bandwidth downstream{pir} burst
Opcional
banda de downlink burst-id
Visualização da largura de banda
show onu-bandwidth downstream Modo da ONU
da downlink
Obs.: no modo de hardware com ajuste periódico dinâmico, o PIR não pode ser
superior a 1000000.
Exemplo de configuração da largura de banda de downlink
»» Requisitos de rede:
»» Explicação da rede ----- A ONU registra o OLT e desabilita a supressão de uni-
cast de transmissão, multicast e desconhecido na porta OLT. O valor PIR de
downstream da ONU A é 4800.
Tester A Tester B
220
»» Etapas de configuração:
»» Configure a largura de banda de downlink de ONU 0/4/1:
OLT4840E (config)#onu 0/4/1
OLT4840E (onu-0/4/1)# onu-bandwidth downstream pir 4800 burst 130
»» Exiba a largura de banda de downlink de ONU 0/4/1:
OLT4840E(onu-0/4/1)#show onu-bandwidth downstream
downstream:
onu-bandwidth: pir 4800 kbps burst 130
»» Verifique o resultado:
»» A porta do testador A transmite pacotes unicast conhecidos na velocidade do fio,
e a porta do testador B recebe os pacotes com a taxa de 4800 ou mais.
9.17. ONU P2P
Visão geral de ONU P2P (ponto a ponto)
Você pode configurar as funções P2P da ONU para permitir que os usuários na mes-
ma porta PON se comuniquem entre si.
Visão geral da configuração de ONU P2P
Visão geral da configuração de ONU P2P
Obrigatório / Detalhes de
Configuração de task
opcional configuração
ONU P2P
Configuração de ONU P2P
Obrigatório /
Operação Comando
opcional
Acesso o modo de configuração
configure terminal -
global
Acesse o modo de configuração
interface pon slot/port Obrigatório
da por PON
Habilite o ONU P2P onu-p2p Opcional
221
Obrigatório /
Operação Comando
opcional
Desabilite o ONU P2P no onu-p2p Opcional
Habilite a comunicação entre onu-p2p entry rule-id source-onu onu-id
Opcional
ONUs através de ONU P2P destination-onu onu-id
Desabilite a comunicação entre
no onu-p2p entry rule-id Opcional
ONUs através de ONU P2P
Visualização das configurações
show onu-p2p Opcional
de ONU P2P
Tester A
ODN
OLT Tester B
ONU
Diagrama de ONU P2P
»» Passos de configuração:
»» Habilite o ONU P2P para a porta PON 0/1
OLT4840E(config)#interface pon 0/1
OLT4840E(config-if-pon-0/1)# onu-p2p entry 1 source-onu 1 destination-onu 2
»» Verifique o resultado:
»» Quando o ONU-P2P está habilitado, o testador A e B podem trocar pacotes.
»» Quando o ONU-P2P está desativado, o testador A e B não podem trocar pa-
cotes.
222
9.18. Limite de MAC na ONU
Visão geral do limite de MAC
Você pode configurar o limite de MAC da ONU, de modo que o ONU possa limitar o
número de MACs aprendidos.
Configuração de limite de MAC na ONU
Obrigatório /
Operação Comando
opcional
Acesso o modo de configuração
configure terminal -
global
Acesse o modo de configuração
onu slot/pon/onu Obrigatório
da ONU
Configuração global de limite de onu-mac-address-table max-mac-count
Opcional
MAC em ONUs number
Remover a configuração global no onu-mac-address-table max-mac-count
Opcional
de limite de MAC em ONUs number
Acesso o modo de configuração
interface ethernet slot/port Obrigatório
de portas da ONU
Configuração de limite de MAC onu-mac-address-table max-mac-count
Opcional
na porta da ONU number
Remover a configuração de limite no onu-mac-address-table max-mac-count
Opcional
de MAC na porta da ONUs number
Visualização das configurações show onu-mac-address-table max-mac-
Opcional
de limite de MAC count
Tester B Tester A
223
»» Passos de configuração:
»» Defina o limite de aprendizagem do endereço MAC para 10 na ONU-0/1/1
OLT4840E(config)#onu 0/1/1
OLT4840E(onu-0/1/1)#onu-mac-address-table max-mac-count 10
»» Verifique o resultado:
»» O testador A envia pacotes de unicast Layer-2 com 20 endereços MAC de ori-
gem (aumento progressivo) começando em 00:00:00:00:01.
»» Então, você pode visualizar as entradas de endereço MAC no OLT. Ele deve
aprender apenas 10 endereços MAC começando com 00:00:00:00:01.
10. Configuração ARP
10.1. Visão geral do ARP
Função ARP
ARP, Address Resolution Protocol é um dos protocolos mais importantes na família
TCP/IP. Um endereço IP é o endereço de um host na camada de rede. Para enviar um
pacote de camada de rede para um host de destino, o dispositivo deve conhecer o
endereço da camada de link de dados (como o endereço MAC) do host de destino.
Para este fim, o endereço IP deve ser resolvido no endereço correspondente da ca-
mada do link de dados.
Os endereços de camada de link de dados que aparecem neste capítulo referem-se
aos endereços MAC Ethernet de 48 bits.
Processo de funcionamento do ARP
Tome a comunicação FTP, por exemplo, para descrever o processo operacional do ARP.
Conforme exibido a seguir, o host A espera acessar o host com o endereço IP
192.168.1.4.
224
Quem é o IP
IP: 192.168.1.1 IP: 192.168.1.2
192.168.1.4?
MAC: 00:00:00:00:00:01 MAC: 00:00:00:00:00:02
PC A PC B
PC C PC D
Suponha que esta seja uma rede Ethernet, e cada host não conhece outro host na
rede de área local (LAN). Neste caso, o host deve conhecer o endereço MAC do host
192.168.1.4 antes de estabelecer a comunicação.
De acordo com o protocolo ARP, o host A enviará uma solicitação ARP para solicitar
o endereço MAC de 192.168.1.4. Este pedido é uma mensagem de transmissão, de
modo que todos os hosts na rede da área local receberão essa solicitação, conforme
exibido a seguir.
Quem é o IP
192.168.1.4? IP: 192.168.1.1 IP: 192.168.1.2
MAC: 00:00:00:00:00:01 MAC: 00:00:00:00:00:02
PC A PC B
PC C PC D
225
De acordo com o protocolo, apenas o host D pode responder o pedido ARP do host
A, e esta resposta ARP é uma mensagem unicast.
IP: 192.168.1.1 IP: 192.168.1.2
MAC: 00:00:00:00:00:01 MAC: 00:00:00:00:00:02
PC A PC B
PC C PC D
226
Ao configurar a tabela ARP estática curta, você precisa configurar o endereço IP e o
endereço MAC. A tabela ARP estática curta não pode ser usada para transmitir o pa-
cote diretamente. Quando você precisa usar a tabela ARP estática, você deve enviar
o pacote de solicitação ARP primeiro, se o endereço IP de origem e o endereço MAC
fonte do pacote e o de resposta forem iguais, basta completar esta tabela ARP, então
você pode usá-lo para transmitir o pacote de dados IP.
Obs.: ao configurar a tabela ARP estática longa manualmente, o endereço IP da
tabela ARP deve estar no mesmo segmento de rede com o endereço IP da porta de
saída ou a operação de adição não será bem-sucedida.
10.2. Configuração ARP
Configuração da tabela ARP
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configurar a tabela ARP
arp {ipaddress mac mac } Obrigatório
estática curta
Configurar a tabela ARP
arp {ipaddress mac mac vid vid port port} Obrigatório
estática longa
Opcional, por
Configurar o tempo de
arp aging-time aging-time padrão é de
envelhecimento
20min
Alteração da tabela estática
arp bind dynamic {ipaddress | all} Obrigatório
para tabela dinâmica
Remover a tabela ARP no arp { dynamic | static | all | ipaddress } Opcional
Visualização da tabela ARP show arp { dynamic | static | all} Opcional
ARP Peer
ARP Peer significa que dois OLTs aprendem o ARP um do outro apenas pela porta
especificada.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
227
Obrigatório/
Operação Comando
opcional
Configurar a tabela ARP Peer arp peer {ipaddress macport } Obrigatório
Remover a tabela ARP Peer no arp peer Opcional
»» Exemplo de configuração:
OLT4840E(config)#arp peer 192.168.1.1 00:56:3A:40:5A:01 0/1
O endereço MAC do Peer acima é 00:56:3A:40:5A:01. Além disso, a mensagem ARP
corresponde a este endereço MAC que toma o efeito somente quando é proveniente
de Ethernet 0/1. O IP 192.168.1.1 atua apenas como um rótulo.
Sobrescrever o ARP
O OLT lida com o conflito ARP através deste comando. Se a porta habilitar esta fun-
ção, a tabela de conflito ARP será atualizada para esta porta. Ou o conflito ARP não
será tratado.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface ethernet device/slot/port -
configuração de porta
Configuração da função de
arp overwrite Obrigatório
sobrescrever o ARP
Proibir a função de
no arp overwrite Opcional
sobrescrever o ARP
Encaminhamento de Gratuitous-ARP
Por padrão, o OLT não tomará a iniciativa de encaminhar a mensagem Gratuitous
-ARP quando a porta estiver estado de linkup. Mas você pode configurar o OLT para
encaminhar.
228
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface ethernet port-number -
configuração de porta
Limitação do encaminhamento
da mensagem ARP gratuita
no linkup gratuitous-arp Opcional
quando a porta está no estado
de linkup
Arp-Reply-Repeat
O OLT responde a cada mensagem de solicitação ARP com apenas uma mensagem
de resposta por padrão. Você pode configurar como a porta responde a cada men-
sagem de solicitação ARP com múltiplas respostas de ARP, de modo a suportar um
certo tipo de protocolo.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional, a
unidade é
milissegundo
Configure o intervalo e a e o parâmetro
arp-reply-repeat interval interval times
frequência de ARP-Reply- padrão refere-
times
Repeat se a repetição
de resposta
a cada 20
milissegundos
Acesse o modo de
interface ethernet device/slot/port -
configuração de interface
Obrigatório,
Configuração da função
arp-reply-repeat desabilitado
ARP-Reply-Repeat
por padrão
Desabilitar a função de ARP-
no arp-reply-repeat Opcional
Reply-Repeat
229
Detecção ARP
O princípio da detecção ARP é configurar o endereço IP remoto, ou seja, definir o
estado da tabela ARP correspondente como estado PROBE e configurar o tempo
de envelhecimento desta tabela ARP como intervalo de retransmissão. Se receber
a resposta ARP remota, atualizará o tempo de envelhecimento desta tabela ARP
como valor normal (20 minutos). Ou será retransmitido. Além disso, se atingir os
tempos de retransmissão enquanto ainda não recebeu uma resposta, a tabela ARP
será excluída.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Obrigatório,
Configuração do dispositivo você pode
arp probe ip { ip }
IP remoto configurar até
4 IP.
Remover o dispositivo IP
no arp probe ip { all | ip } Opcional
remoto
Opcional,
poll-timer:
o intervalo
de valores é
de 60-300
segundos e o
valor padrão é
180 segundos.
Contagem:
tempos de
retransmissão,
Configure o parâmetro de ARP- arp probe [ poll-timer value | retransmit
o intervalo de
probe IP { count value | interval value } ]
valores é 2-5 e
o valor padrão
é 3 vezes:
intervalo de
retransmissão,
intervalo de
valores de
1-3 segundos
e o valor
padrão é de 3
segundos.
230
Obrigatório/
Operação Comando
opcional
Visualização do parâmetro probe show arp probe Opcional
Obrigatório/
Operação Comando
opcional
Acesse o modo de
vlan <vlanid> -
configuração de VLAN
Habilitar o ARP-proxy arp-proxy Obrigatório
Desabilitar o ARP-proxy no arp-proxy Opcional
Habilitar o broadcast de
arp-proxy broadcast Opcional
ARP-proxy
Desabilitar broadcast de
no arp-proxy broadcast Opcional
ARP-proxy
Opcional,
Visualização das informações pode ser
do proxy ARP configuradas no show arp-proxy executado
sistema atual em todos os
modos
231
Obrigatório/
Operação Comando
opcional
Opcional,
Visualização das informações pode ser
do broadcast proxy ARP show arp-proxy broadcast executado
configuradas no sistema atual em todos os
modos
»» Exemplo de configuração:
Conforme exibido na figura a seguir: VLAN 2, 3, 4 são a sub-VLAN de SuperVLAN
-interface1, e eles estão conectados a computerA, computerB, computerC, respec-
tivamente, com o ARP-proxy ativado. Além disso, a VLAN 4 está no estado com o
ARP-proxy broadcast desativado.
192.168.2.1
OLT
Cliente C
Cliente A
Cliente B
OLT4840E(config)#interface supervlan-interface 1
OLT4840E(config-if-superVLANInterface-1)#subvlan 2-4
OLT4840E(config-if-superVLANInterface-1)#ip address 192.168.2.1 255.255.255.0
OLT4840E(config-if-superVLANInterface-1)#exit
OLT4840E(config)#vlan 2-4
OLT4840E(config-if-vlan)#arp-proxy
Config arp-proxy enable successfully.
OLT4840E (config-if-vlan)#exit
OLT4840E (config)#vlan 4
232
OLT4840E (config-if-vlan)#no arp-proxy broadcast
Config arp-proxy broadcast disable successfully.
»» 1: cliente A encaminha o pacote de solicitação ARP, B \ C podem ser capaz de
responder. Ping entre cliente A e cliente B é realizado com sucesso.
»» 2: cliente C encaminha o pacote de solicitação ARP, A \ C não podem respon-
der. Ping entre cliente C e cliente A não realizado.
233
11. Espelhamento
O espelhamento significa copiar pacotes que correspondem à regra escolhida para
a porta de destino de espelhamento. Geralmente, o destino está conectado ao dis-
positivo de detecção de dados. Os usuários podem analisar os pacotes espelhados,
monitorar a rede e solucionar problemas de falhas. Ele é dividido em espelhamento
de portas e espelhamento de fluxo.
11.1. Espelhamento de portas
Espelhamento de portas é usado para copiar os pacotes recebidos ou enviados em
uma porta para a porta de destino de espelhamento. O OLT suporta espelhamento
um-para-um e muitos-para-um, suportando várias fontes de espelhamento.
»» Espelhado: pode ser uma porta ou um pacote que a CPU recebe ou envia.
»» Espelho: para o OLT, a porta de destino do espelho pode ser apenas uma. Se a
porta de destino de espelhamento estiver configurada, somente a última configu-
ração entrará em vigor.
Configuração de espelhamento de porta
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Obrigatório.
É possível
Configuração da porta mirror source-interface {{ethernet | pon} configurar
espelhada port-number| cpu } {ingress | egress | both} múltiplas
portas como
espelhadas
Obrigatório,
apenas uma
Configuração da porta mirror destination-interface {ethernet |
porta pode ser
espelho pon} port-number
configurada
como espelho
no mirror {soure-interface {cpu | {ethernet |
Remover o grupo de
pon} port-number } | destination-interface Opcional
espelhamento
ethernet device/slot/port | all }
Visualização do grupo de
show mirror Opcional
espelhamento
234
Exemplo de configuração de espelhamento de porta
1. Requisitos de rede:
Pacotes espelhados da CPU, e 0/1, e 0/2 ~ e 0/4.
»» Passos de configuração:
OLT4840E(config)#mirror source-interface cpu both
OLT4840E(config)#mirror source-interface ethernet 0/1 both
OLT4840E(config)#mirror source-interface ethernet 0/2 both
OLT4840E(config)#mirror destination-interface ethernet 0/4
»» Validação de resultados:
OLT4840E(config)#show mirror
Information about mirror port(s)
The monitor port : e0/4
The mirrored egress ports : cpu,e0/1-e0/2.
The mirrored ingress ports : cpu,e0/1-e0/2.
The packet of CPU, e 0/1, e 0/2 can be mirrored to port e 0/4.
11.2. Espelhamento de fluxo
O espelhamento de fluxo significa copiar as regras de ACL que correspondem ao fluxo
de serviço para a porta de destino para análise e monitoramento de pacotes. Antes
de configurar o espelho de fluxo, você precisa definir as regras ACL que atendem aos
requisitos. O dispositivo faz referência a essas regras ACL para a identificação do fluxo.
Configuração do espelhamento de fluxo
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração do espelhamento mirrored-to {ip-group<1-199>|link-
Obrigatório
de fluxo group<200-299>[subitem<0-127>]
Remover o espelhamento no mirrored-to {ip-group<1-199>|link-
Opcional
de fluxo group<200-299>[subitem<0-127>]
Verificação da operação show mirror Opcional
235
Exemplo de configuração de espelhamento de fluxo
»» Requisitos de rede:
Espelhe os pacotes cujo endereço IP de origem é 10.1.1.1 para e 0/7.
»» Passos de configuração:
OLT4840E(config)#access-list 100 permit 10.1.1.1 0 any
OLT4840E(config)#mirror destination-interface ethernet 0/7
OLT4840E(config)#mirrored-to ip-group 100
»» Validação de resultados:
A porta e 0/7 pode capturar pacotes com fonte IP 10.1.1.1
237
»» Configuração de nome de comunidade:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração para visualização Opcional, não
snmp-server community encrypt { enable |
do nome de comunidade criptografado
disable }
criptografado ou não por padrão
Visualização do nome da
show snmp community Opcional
comunidade
Remover o nome da no snmp-server community community-
Opcional
comunidade index
12.4. Configuração de grupo
Esta configuração pode ser usada para configurar um grupo de controle de acesso.
Por padrão, existem dois grupos snmpv3:
»» (1): o grupo initial com o nível de segurança de auth.
»» (2): o grupo initial com o nível de segurança de noauthpriv.
»» Configuração de group:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
snmp-server group group-name 3 [auth |
Configuração de grupo noauth | priv] read read-view write write- Obrigatório
view notify notify-view
Configuração do contexto [no]snmp-server group group-name 3
Opcional
do grupo context context-name
Visualização da configuração
show snmp group [ group-name ] Opcional
de grupo
238
12.5. Configuração de usuário
Ele é usado para configurar o usuário para o mecanismo local ou para o mecanismo
remoto. Por padrão, os seguintes usuários existem:
»» (1) initialmd5.
»» (2) initialsha.
»» (3) inicialnone.
Os três usuários acima são reservados para o sistema e não podem ser utilizados.
Ao configurar um usuário, você precisa garantir que o mecanismo ao qual ele per-
tence seja identificável. Quando um mecanismo identificável é excluído, os usuários
vinculados a ele também são excluídos.
»» Configuração de usuário:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional,
Configuração para visualização
snmp-server encrypt { enable | disable } criptografado
da senha criptografado ou não
por padrão
snmp-server user username groupname
[ remote ipaddress [ udp-port port-
number] ] [ auth { md5 | sha } { auth-
Configuração de usuário Obrigatório
password authpassword | auth-key authkey
} [ priv des priv-key { auth-key privkey |
auth-password privpassword } ]]
no snmp-server user username [ remote
Remover usuário Opcional
ipaddress [ udp-port port-number ] ]
Visualização do nome do
show snmp user [username] Opcional
usuário
Obs.: » Para configurar um usuário remoto é necessário incluir os seguintes pa-
râmetros remote [ipaddress] udp-port [port number]. Se você não incluir
estes parâmetros, será configurado um usuário local.
»» Port number: é o número da porta remota, se você não especificar,
será utilizada a porta padrão 162.
»» Existem três níveis de privilégio de usuário: noauthpriv (nenhuma auten-
ticação e criptografia é necessária), esta é a configuração padrão; auth
(autenticação é necessária, mas não criptografada); authpriv (requer au-
tenticação e criptografia). O nível de segurança do usuário deve ser o
mesmo que o grupo de segurança de grupo correspondente.
239
12.6. Configuração de views
Views são usadas para configurar as visualizações disponíveis para acesso de con-
trole e suas subárvores. O iso, internet e sysview existem por padrão. Não é possível
eliminar e/ou modificar a internet.
»» Configuração de views:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
snmp-server view view-nameoid-tree {
Configuração de views Obrigatório
included | excluded }
no snmp-server view view-name [
Remover a view Opcional
oid-tree ]
Visualizar as configurações
show snmp view view-name Opcional
de views
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
[no]snmp-server trap-source { loopback-
Configuração do IP da fonte de
interface |vlan-interface | supervlan- Opcional
pacotes de informação
interface } if-id
[no]snmp-server enable [ [ informs |
Habilitar a função de
traps ] [ bridge | gbn | gbnsavecfg | Obrigatório
notificação
interfaces | rmon | snmp ] ]
Visualizar as configurações de
show snmp notify Opcional
notificações
[no]snmp-server host ipaddress [version
{1 | 2c | 3 [auth | noauthpriv | priv ] }
Configuração de notificação do
security-name [ udp-port port-number] [ Obrigatório
host de destino
notify-type [ bridge | gbn | gbnsavecfg |
interfaces | rmon | snmp ] ]
Visualização de configuração
show snmp host Opcional
do host de notificação
240
12.8. Configuração de engine ID
Ele é usado para configurar o id da engine do snmp local e remoto. O ID local padrão
é 134640000000000000000000, este valor pode ser modificado, mas não pode
ser excluído. O ID remoto pode ser adicionado e/ou removido (por padrão não está
configurado). Uma vez que uma engine remota identificável é excluída, seus usuá-
rios correspondentes também serão excluídos. O número máximo de engine remotas
configuráveis é 32. O comando de no é utilizado para restaurar o ID da engine local
padrão ou excluir o ID da engine remoto.
»» Configuração da Engine ID:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
241
»» Configure a comunidade test2
OLT4840E(config)#snmp-server community test2 rw permit view iso
»» Configure o nome do grupo como g3, o nome de usuário como u3, os níveis
de segurança como auth
OLT4840E(config)#snmp-server group g3 3 auth notify iso read iso write iso
OLT4840E(config)#snmp-server user u3 g3 auth md5 auth-password password
OLT4840E(config)#show snmp group g3
groupname: g3
securitymodel: 3 auth
readview: iso
writeview: iso
notifyview: iso
context: default value(NULL)
OLT4840E(config)#show snmp user u3
User name: u3
Engine ID: 134640000000000000000000
Authentication Protocol: HMACMD5AuthProtocol
Group-name: g3
Validation: valid
»» Configure a função de notificação
»» Habilite a função de notificação
OLT4840E(config)#snmp-server enable traps
#Configure o host de notificação
OLT4840E(config)#snmp-server host 192.168.1.10 version 2 test2
OLT4840E(config)#snmp-server host 192.168.1.10 version 3 auth u3
13. Configuração de ACL
Para filtrar o pacote de dados, você precisa configurar uma série de regras para iden-
tificar o objeto que precisa ser filtrado. Depois de reconhecer um objeto especial,
ele pode configurar para permitir ou negar a passagem destes pacotes. A lista de
controle de acesso (ACL) é usada para executar esta função.
242
A ACL classifica os pacotes de acordo com uma série de condições de correspondên-
cia, que podem ser o endereço de origem, endereço de destino, número da porta e
assim por diante. O OLT detecta os pacotes com base nas condições especificadas na
ACL para determinar se deseja encaminhar ou descartar os mesmos.
As regras de correspondência dos pacotes de dados podem ser introduzidas em outras
situações em que é preciso distinguir o fluxo, como a classificação do fluxo na QoS.
De acordo com o objetivo da aplicação, a ACL pode ser dividida nas seguintes categorias:
»» ACL padrão (standard): define regras baseadas apenas em endereços IP de origem.
»» ACL estendida (extended): define regras baseadas em endereço IP de origem,
endereço IP de destino, tipo de protocolo e atributos de protocolo de pacotes.
»» Layer 2 ACL: informações de camada 2 como endereço MAC de origem, MAC de
destino, prioridade de VLAN e tipo de protocolo.
Obrigatório/
Operação Comando
opcional
Acesse o modo de configuração
configure terminal -
global
Opcional,
Configuração da ordem de access-list access-list match-order {auto| já está
correspondência da ACL config} configurada
por padrão
Obs.: o modo Config é para usuários que conhecem bem a função ACL, é recomendá-
vel usar o modo Auto, pois ela classifica as regras na ordem correta automaticamente.
Exemplo de configuração de ordem de correspondência da ACL
1. Se a ordem de correspondência for a ordem de config, configure dois sub-itens, o
0 deve ser para negar todos os endereços IPs de origem.
243
As configurações são as seguintes:
OLT4840E(config)#access-list 1 deny any // Configuração de 2 sub-itens da mes-
ma ACL
Config ACL subitem successfully.
244
13.2. ACL padrão (standard)
A ACL padrão apenas executa a análise e o processamento correspondentes nos
pacotes de acordo com as regras especificadas no endereço IP de origem.
Se ela for identificada por números, sua sequência deve variar de 1 a 99. Podem ser
criadas até 99 ACLs padrão; se for identificada por nomes, podem ser definidas até
1000 entradas. Além disso, o OLT pode definir até 128 sub-regras para cada ACL.
Se você deseja configurar uma regra com os parâmetros de intervalo de tempo, é
necessário definir primeiro o intervalo de tempo correspondente. Para isso, consulte
13.5. Intervalo de tempo.
»» ACL identificada por números:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
access-list num { permit | deny } { source-
Defina uma ACL IPv4/v6 source-wildcard | any | ipv6any } [ Obrigatório
time-range name ]
Opcional,
Remover a ACL baseada em all - refere-se
no access-list [ num subitem |all ]
números a todas as
ACLs
»» ACL identificada por nome:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configure uma ACL padrão
com base no nome e entre no access-list standard name Obrigatório
modo de configuração de ACL
{ permit | deny } { source-IPv4/v6 source-
Configure uma regra de ACL wildcard | any | ipv6any } [ time-range Obrigatório
name ]
Remover uma ACL baseada
no access-list [name | subitem ] all Opcional
em nome
245
»» Descrições das regras padrão da ACL:
Exemplo de configuração
»» Defina uma ACL padrão identificada com números para proibir os pacotes cujo
endereço IP de origem é 10.0.0.1
OLT4840E#configure terminal
OLT4840E(config)#access-list 1 deny 10.0.0.1 0
Config ACL subitem successfully.
»» Define uma ACL padrão identificada com nomes para proibir os pacotes cujo en-
dereço IP de origem é 10.0.0.2
OLT4840E(config)#access-list standard stdacl
Create ACL item successfully.
OLT4840E(config-std-nacl-stdacl)#deny 10.0.0.2 0
Config ACL subitem successfully.
246
13.3. ACL estendida (extended)
Uma ACL estendida pode criar regras com base em informações do endereço IP de
origem, endereço IP de destino, tipo de protocolo, as características do protocolo e
assim por diante.
Se ela for identificada por números, a sequência varia de 100 a 199. Podem ser cria-
das até 100 ACLs estendidas. Se ela for identificada por nomes, podem ser definidas
até 1000 entradas. Ao mesmo tempo, o OLT pode definir até 128 sub-regras para
cada ACL.
Se você deseja configurar uma regra com os parâmetros do intervalo de tempo, é
necessário definir primeiro o intervalo de tempo correspondente. Para isso, consulte
13.5. Intervalo de tempo
»» Identificação de ACL por números:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
access-list num { permit | deny } [
protocol ] [ established ] { source-IPv4/v6
source-wildcard | any | ipv6any } [source-
port wildcard ] { dest-IPv4/v6
dest-wildcard | any | ipv6any } [dest-port
Defina uma ACL extendida Obrigatório
wildcard ]
[icmp-type icmp-code ] [igmp-type] [traffic-
class traffic-class][ precedence precedence
] [ tos tos ] | [ dscp dscp ][ fragments ][
time-range name ]
all - refere-se
Remover a ACL baseada em
no access-list [ num |all ] a todas as
números
ACLs
»» Descrição das regras de ACL extendidas:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configure uma ACL padrão
com base no nome e entre no access-list standard name Obrigatório
modo de configuração de ACL
247
Obrigatório/
Operação Comando
opcional
{ permit | deny } [ protocol ] [ established
] { source-IPv4/v6 source-wildcard | any |
ipv6any } [source-port wildcard ] { dest-IPv4/
v6 dest-wildcard | any | ipv6any } [dest-port
Configure uma regra de ACL Obrigatório
wildcard ] [icmp-type icmp-code ] [igmp-type]
[traffic-class traffic-class][ precedence
precedence ] [ tos tos ] | [ dscp dscp ][
fragments ][ time-range name ]
Opcional,
Remover uma ACL baseada all - refere-se
no access-list [name | subitem ] all
em nome a todas as
ACLs
source-IPv4/v6sour-wildcard é usado
para determinar o intervalo de endereço
IP de origem (IPv4 / v6) do pacote.
{ source-IPv4/v6 Os endereços IPv4 são representados em
source-wildcard | any | Especifique o endereço notação decimal pontilhada; os endereços
ipv6any } de origem da regra ACL IPv6 são representados em hexadecimal;
quando o source-wildcard é 0, indica o
endereço do host;
any|ipv6any se refere a qualquer
endereço de origem.
dest-IPv4/v6 dest-wildcard é usado para
determinar o intervalo de endereço IP de
destino (IPv4 / v6).
Os endereços IPv4 são representados em
{ dest-IPv4/v6 Especifique o endereço
notação decimal pontilhada; os endereços
dest-wildcard| any | de destino da regra
IPv6 são representados em hexadecimal;
ipv6any } da ACL
quando o source-wildcard é 0, indica o
endereço do host;
any|ipv6any refere-se a qualquer
endereço de origem.
248
Números de porta de
source-port/ dest-port wildcard - O número inverso determina o
origem e destino TCP /
wildcard intervalo de números de porta
UDP
Tipo de pacote de É válido somente quando o protocolo é
icmp-type icmp-code
protocolo ICMP configurado como icmp / icmpv6
Tipo de pacote de É válido somente quando o protocolo é
igmp-type
protocolo ICMP configurado como IGMP
traffic-class traffic-class in Ipv6 Disponível apenas para mensagens IPv6
Prioridade de
precedence A prioridade de IP varia de 0 a 7
precedência
tos Prioridade de TOS O valor varia de 0 a 15
dscp Prioridade de DSCP O valor varia de 0 a 63
A regra é válida apenas para pacotes não
fragments Fragmentos de pacotes
primários fragmentados
13.4. ACL Layer 2
As ACL Layer 2 (ACL de camada 2) podem ser configuradas com base nas infor-
mações da camada 2, como endereço MAC de origem, endereço MAC de destino,
prioridade de VLAN e tipo de protocolo de camada 2.
Se for identificada por números, variando de 200 a 299. Você pode criar até 100
listas identificadas por números; se for identificada por nomes, podem ser definidas
até 1000 entradas. Ao mesmo tempo, o OLT pode definir até 128 sub-regras para
cada ACL.
249
Se você deseja configurar uma regra com os parâmetros do intervalo de tempo, é
necessário definir primeiro o intervalo de tempo correspondente. Para a configuração
do intervalo de tempo, consulte 12.5.
»» ACL identificada por número:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
access-list num { permit | deny } [ protocol
] [ cos vlan-pri ] ingress { { [ inner-vid vid
] [start-vlan-id end-vlan-id ] [ source-
mac-addr source-mac-wildcard ] [ interface
Defina uma ACL extendida Obrigatório
interface-num ] } | any } egress { { [ dest-
mac-addr dest-mac-wildcard ] [ interface
interface-num | cpu ] } | any } [ time-range
name ]
Opcional,
Remover a ACL baseada em all - refere-se
no access-list [ num |all ]
números a todas as
ACLs
»» ACL identificada por nome:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configure uma ACL Layer 2 e
acesse o modo de configuração access-list link name Obrigatório
de ACL
{ permit | deny } [ protocol ] [ cos vlan-pri
] ingress { { [ inner-vid vid ] [start-vlan-id
end-vlan-id ] [ source-mac-addr source-mac-
wildcard ] [ interface interface-num ] } | any
Configure uma regra de ACL Obrigatório
} egress { { [ dest-mac-addr dest-mac-
wildcard ] [ interface interface-num | cpu ]
} | any } [ time-range name ]
Opcional, all
Remover uma ACL baseada
no access-list [name | all} refere-se a
em nome
todas as ACL
250
»» Descrição das regras de ACL Layer2:
permit significar permitir o acesso, deny
permitir/negar Escopo da regra de ACL
significa negar o acesso
Tipo de protocolo
protocol Em notação hexadecimal, alcance 0 para
carregado pelo frame
FFFF. Opcional para ARP, IP, RARP
Ethernet
cos A prioridade da tag Vlan Prioridade varia de 0 até 7
Direção do pacote a ser
Ingress/ egress -
aplicado a regra
O valor interno de vid de
inner-vid -
um pacote com duas tags
Para o pacote com duas tags, é a faixa
start-VLAN-ID Ele é usado para indicar
de vid da etiqueta externa; para o pacote
end-VLAN-ID a faixa de VLANs
com uma tag, e a faixa da própria tag.
source-mac-addr Opções de endereço O source-mac-wildcard pode ser usado
source-mac-wildcard fonte MAC para indicar o intervalo fonte MAC
Dividido em porta de entrada e porta
interface interface-num O número da porta física
de saída
Indica que os dados serão encaminhados
CPU -
para a CPU
any Qualquer endereço Dividido em direção de entrada e saída
251
13.5. Intervalo de tempo
A configuração do intervalo de tempo inclui o intervalo de tempo periódico e o inter-
valo de tempo absoluto. Configurar um intervalo de tempo periódico assume a forma
de dias da semana. O intervalo de tempo absoluto é configurado a partir do horário
de início até o final do intervalo de tempo.
»» Configuração de intervalo de tempo:
Obrigatório/
Operação Comando
opcional
Acesse o modo de configuração
configure terminal -
global
Crie um intervalo de tempo e
entre no modo de configuração time-range name Obrigatório
do intervalo de tempo
Configure um intervalo de tempo absolute start HH:MM:SS YYYY/MM/DD [ end
absoluto HH:MM:SS YYYY/MM/DD ] Obrigatório
Configuração de um intervalo de periodic days-of-the-weekhh:mm:ss to [ day-
tempo periódico of-the-week ] hh:mm:ss
Opcional,
all - significa
Remover os intervalos de tempo no time-range [all | name name] que todos os
intervalos serão
removidos
Exemplo de configuração
»» Configure o intervalo de tempo absoluto, que varia de 16:00 em 30 de março de
2015 às 16:00 em 31 de março de 2015.
OLT4840E(config)#time-range b
Config time range successfully.
252
time-range: b ( Inactive )
absolute: start 16:00:00 2015/03/30 end 16:00:00 2015/03/31
OLT4840E(config)#time-range d
Config time range successfully.
13.6. Ativar a ACL
As ACLs precisam ser ativadas antes de entrarem em vigor e seguir as regras de: a
primeira ativação terá precedência.
»» Ativar a ACL:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal
configuração global
access-group [ ip-group name | num ] [
A regra para ativação da ACL link-group Obrigatório
name | num ] [ subitem num ]
no access-group [ ip-group name | num ][
Desativar uma ACL específica
link-group name | num ] [ subitem num ]
Desativar todas as ACLs no access-group all
Obs.: quando o math-order for auto, seguir a ordem que foi estipulada pela OLT come-
çando no 0, é possível visualizar através do comando show access-list config all.
253
Exemplo de configuração para ativação de ACL
»» Exemplo 1: configure uma ACL e depois a ative.
»» Caso 1:
»» Antes de ativar uma ACL:
OLT4840E(config)#access-list 1 deny any
Config ACL subitem successfully.
254
OLT4840E(config)#access-list 1 permit 1.1.1.1 0
Config ACL subitem successfully.
255
»» Visualização e depuração da ACL:
Obrigatório/
Operação Comando
opcional
14. Configuração de QACL
QACL (QOS e ACL), refere-se à função de associar regras de trânsito às operações de tráfe-
go usando ACL. Ou seja, as funções de QoS são realizadas por referência à lista de controle
de acesso, incluindo filtragem de pacotes, taxa de acesso de compromisso, espelhamento
de tráfego, estatística de tráfego, redirecionamento, reescrita ou inserção de VLAN, remar-
cação de precedência e cópia de tráfego para a CPU, trTCM e outras funções.
256
Precedência
A precedência 802.1p está no cabeçalho da mensagem da Camada 2 e aplicável às
ocasiões em que as mensagens da Camada 3 não precisam ser analisadas e o QoS
precisa ser garantido na Camada 2.
Conforme descrito na seção de configuração de VLAN, cada host que suporta o pro-
tocolo 802.1Q adiciona um cabeçalho de tag 802.1Q de 4 bytes atrás do endereço
de origem no cabeçalho do frame original ao enviar um pacote de dados. Conforme
exibido na figura a seguir.
0 16 19 20 31
C
TPID PRI VID 4 byte
FI
802.1Q tag
Na figura acima, o campo PRI é a precedência 802.1p, que consiste em 3 bits. O valor
varia de 0 a 7. Estes três bits indicam a precedência do quadro, que consistem em
oito prioridades, principalmente é usado para determinar a precedência para enviar
pacotes de dados quando o switch está sobrecarregado.
»» Descrição de valores do 802.1Q:
Cos (decimal) Cos (binário) Implicação
0 000 Dispensável
1 001 Segundo plano
2 010 Melhor esforço
3 011 Esforço excelente
4 100 Carga controlada
5 101 Vídeo
6 110 Voz
7 111 Gerenciamento de rede
257
No cabeçalho do pacote IP de uma mensagem IPv4, o campo de tipo de serviço
(TOS) tem 8 bits.
O campo Tipo de Serviço (TOS) inclui um campo de prioridade IP de 3 bits, um campo
TOS de 4 bits e um bit não utilizado (deve ser zero). Quatro bits TOS representam res-
pectivamente: latência mínima, rendimento máximo, máxima confiabilidade e custo
mínimo. Entre os quatro bits, no máximo um bit pode ser configurado ao mesmo
tempo. Se os 4 bits forem 0, significa serviço geral.
0 1 2 3 4 5 6 7
IP M
Type of service
Precedence BZ
258
Origem do TOS possui 5 níveis.
»» Descrição dos valores de TOS:
TOS (decimal) TOS (binário) Implicação
0 0000 Normal
1 0001 Mínimo custo
2 0010 Maior confiabilidade
4 0100 Throughput máximo
8 1000 Mínimo atraso
0 1 2 3 4 5 6 7
unused
Precedência DSCP
259
O melhor esforço (BE) é uma categoria especial de CS, não há garantia. A classe AF
pode ser rebaixada para a classe BE após a saturação, o tráfego de rede IP existente
também é padronizado nesta categoria.
»» Descrição de valor do DSCP:
DSCP (decimal) DSCP (binário) Palavra-chave
0 000000 be
46 101110 ef
10 001010 af1
18 010010 af2
26 011010 af3
34 100010 af4
8 001000 cs1
16 010000 cs2
24 011000 cs3
32 100000 cs4
40 101000 cs5
48 110000 cs6
56 111000 cs7
Obs.: antes de configurar essas tarefas ACL, configure a licença ACL de acordo com
seus requisitos.
Consulte o Guia de Configuração da ACL.
260
»» Configuração de limite de velocidade de tráfego:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal
configuração global
Opcional,
o limite de
velocidade
do tráfego
Acesse o modo de
interface ethernet device/slot/port pode ser
configuração de porta
configurado
sob o modo
de global ou
porta
Opcional,
alguns
dispositivos
apenas
suportam
rate-limit { input | output } { [ ip-group {
direção de
Configuração de limite de num | name } [ subitem subitem ] ]
entrada,
velocidade de tráfego [ link-group { num | name }
alguns
[ subitem subitem ] ] } target-rate
dispositivos
suportam
direção de
entrada e
saída
14.3. Configuração do trTCM
A função de trTCM é definida no RFC 2698, e principalmente com base em quatro
tipos de parâmetros de fluxo: CIR, CBS, PIR, PBS.
»» Configuração do trTCM:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal
configuração global
Configuração o modo de color two-rate-policer mode {color-aware |
Opcional
aware color-blind}
two-rate-policer set-pre-color {dscp-
Diferentes mensagens DSCP
value {green | Opcional
são codificadas por cores
red | yellow}}
261
Obrigatório/
Operação Comando
opcional
rate-limit input{ [ ip-group { num | name }
[ subitemsubitem ] ] [ link-group { num |
name }
[ subitemsubitem ] ] } two-rate-policer cir
cir-value cbs cbs-value pir
Configure uma política de pir-value pbs pbs-value conform-action
aplicação de trTCM (ação {copy-to-cpu | drop | set_dscp_value Opcional
de processamento para três dscp_value
mensagens de cores diferentes) |transmit } exceed-action {copy-to-cpu |
drop |
set_dscp_value dscp_value |transmit }
violate-action{copy-to-cpu | drop |
set_dscp_value
dscp_value |transmit }
262
TrTCM em modo color-blind
Não Não
Não Não
263
14.5. Configuração de cópia de mensagem para a CPU
Depois que a mensagem de configuração é copiada para a função CPU, o OLT copia
automaticamente uma mensagem específica para a CPU.
»» Configuração da cópia da mensagem na CPU:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
configure terminal -
configuração global
264
14.7. Configuração das estatísticas de tráfego
A função de estatística do tráfego pode ser usada para coletar as correspondentes men-
sagens de regras ACL. A estatística é um valor acumulado que pode ser limpado por
um comando. Se o usuário reconfigurar a estatística de tráfego, ela será desmarcada.
»» Configuração das estatísticas de tráfego:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
traffic-statistic { [ ip-group { num | name
Configuração das estatísticas
} [ subitem subitem ] ] [ link-group { num | Opcional
de tráfego
name } [ subitem subitem ] ] }
clear traffic-statistic { [ all | [ ip-group
Limpar as informações de { num | name } [ subitem subitem ] ] [
Opcional
estatísticas link-group { num | name } [ subitem
subitem ] ] ] }
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
traffic-rewrite-vlan { [ ip-group { num |
Configuração para
name} [ subitem subitem ] ] [ link-group
sobrescrever a VLAN da Opcional
{ num | name } [ subitem subitem ] ] }
mensagem
rewrite-VLAN -ID
265
»» Configurar a inserção de VLAN:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
traffic-insert-vlan { [ ip-group { num |
name} [ subitem subitem ] ] [ link-group
Configurar a inserção de VLAN Opcional
{ num | name } [ subitem subitem ] ] }
insert-VLAN -ID
266
Obrigatório/
Operação Comando
opcional
Opcional,
pode ser
Visualização da estatística de
show qos-info traffic-statistic executado
tráfego
em qualquer
modo
Opcional,
pode ser
Visualização das configurações
show qos-info traffic-rewrite-vlan executado
de sobrescrever a VLAN
em qualquer
modo
Opcional,
pode ser
Visualização das configurações
show qos-info traffic-insert-vlan executado
de inserção de VLAN
em qualquer
modo
Opcional,
pode ser
Visualização do trTCM show two-rate-policer policer-id executado
em qualquer
modo
Opcional,
pode ser
Visualização da configuração
show qos-interface all executado
de taxa limite
em qualquer
modo
Opcional,
Visualização das informações pode ser
show qos-interface global
de limite de taxa em todas executado
rate-limit
as portas em qualquer
modo
Opcional,
pode ser
Visualização das informações show qos-interface interface ethernet
executado
de limite de taxa em uma porta port-id
em qualquer
modo
Opcional,
pode ser
Estatísticas das regras de
show qos-interface statistic executado
taxa limite
em qualquer
modo
»» show qos-info: exibe as informações de configuração relacionadas à configu-
ração de tráfego.
»» show qos-interface: exibe as informações de configuração relacionadas ao
limite de taxa.
267
14.11. Exemplo de configuração de QACL
»» Requisitos e diagrama de rede:
A interconexão entre PCA e PCB é realizada através das portas Ethernet da OLT. A e
B não pertencem ao mesmo segmento de rede. PCA se conecta no OLT através de
Eth 0/1, e PCB se conecta no OLT através de Eth0/2.
PCB equipado com equipamento de detecção de dados. As necessidades específicas
são as seguintes:
»» Tráfego estatístico sem jornada de trabalho na Internet através do HTTP na porta E0/1.
»» Redirecionar o tráfego através da porta E0/1 por HTTP para acessar a internet para E0/2.
O diagrama de rede é o seguinte:
Internet
Internet
EO/0/1 EO/0/2
PCA PCB
»» Passos de configuração:
1. Configure o período de tempo
OLT4840E(config)#time-range a
OLT4840E(config-timerange-a)#periodic weekdays daily 08:30:00 to 18:00:00
OLT4840E(config)#time-range b
OLT4840E(config-timerange-b)#periodic weekdays 00:00:00 to 08:30:00
OLT4840E(config-timerange-b)#periodic weekend 00:00:00 to 23:59:00
268
2. Configure ACL, de acordo com o período de tempo diferente para acessar a
Internet pela classificação de mensagens HTTP
OLT4840E(config)#access-list 100 permit tcp any 192.168.0.1 0 80 time-range a
OLT4840E(config)#access-list 100 permit tcp any 192.168.0.1 0 80 time-range b
3. Configurar o redirecionamento de tráfego e as estatísticas de trânsito
OLT4840E(config)#traffic-statistic ip-group 100 subitem 0
OLT4840E(config)#traffic-redirect ip-group 100 subitem 1 interface ethernet 0/2
15. Controle de Cos
15.1. Visão geral do controle do CoS
Quando a rede está congestionada, significa que muitas mensagens estão compe-
tindo por recursos ao mesmo tempo, problema que geralmente é resolvido por uma
programação de fila. Os algoritmos comuns de agendamento de filas incluem SP,
WRR, SP+WRR, WFQ e SP+WFQ.
O SP (Strict-Priority Queuing) foi projetado para aplicativos de negócios críticos. Uma
característica importante do negócio crítico é priorizar os serviços para reduzir sua
latência de resposta quando ocorre congestionamento. A fila de prioridade classifica
todas as mensagens em oito classes (7, 6, 5, 4, 3, 2, 1, 0) e suas prioridades são
reduzidas por cada uma delas.
Em sua programação, o SP envia estritamente uma fila de prioridade mais alta de
acordo com a ordem definida. Quando a prioridade mais alta está vazia, o grupo da
fila de prioridade mais baixa na fila é enviado. Desta forma, o negócio não crítico é co-
locado em fila de prioridade mais baixa, para garantir que o negócio-chave seja enca-
minhado, e apenas é transmitido na lacuna ociosa de manipulação de dados críticos.
A sua desvantagem é que mensagens de baixa prioridade podem não ser transmiti-
das por um longo período de tempo.
O agendamento da fila WRR divide cada porta em 8 filas de saída (7, 6, 5, 4, 3, 2, 1, 0 e
suas prioridades são reduzidas em cada fila). Elas são agendadas e garantem que cada
uma tenha um determinado tempo de serviço. O WRR pode ser configurado com um
valor ponderado (w7, w6, w5, w4, w3, w2, w1, w0) para cada fila, representando o peso
do recurso, como em uma porta de 100M, se o valor for configurado em 80, 70, 60, 50,
50, 40, 30, 20 (correspondentes a w7, w6, w5, w4, w3, w2, w1, w0, respectivamente).
269
Isso garante que a fila de prioridade mais baixa pode obter pelo menos 5 Mbit/s de
largura de banda, evitando que mensagens em filas de baixa prioridade não fiquem
tanto tempo sem transmitir como no SP.
Uma vantagem da fila WRR é que, embora várias filas sejam agendadas por polling,
cada fila não recebe um intervalo fixo - se uma fila estiver vazia, ela muda imedia-
tamente para o próximo cronograma da fila, portanto, a largura de banda pode ser
totalmente utilizada.
Na programação da fila SP+WRR, se o valor de peso de uma fila for definido como 0,
a fila executará o algoritmo de prioridade rígida (assim como no SP), caso contrário,
é utilizado o valor de peso da fila WRR.
O WFQ utiliza o mesmo que o princípio WRR, a diferença é que o segundo usa pps
e o WFQ usa bps para calcular o peso da fila. Em uma porta de 100M, configura-
da com o valor de agendamento da fila WFQ para 80, 70, 60, 50, 50, 40, 30, 20
(correspondendo a w7, w6, w5, w4, w3, w2, w1, w0, respectivamento), a fila de
prioridade mais baixa é garantida para ter pelo menos uma largura de banda de 20
/ (80+70+60+50+50+40+30+20) *% 100, onde a largura de banda é calculada
usando bits/Bytes, por exemplo.
SP+WFQ também é calculado de acordo com o peso da fila Bps.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Utilizar a priorização por SP queue-scheduler strict-priority Opcional
270
Obrigatório/
Operação Comando
opcional
queue-scheduler wrr w1 w2 w3 w4 w5
Utilizar a priozação por WRR Opcional
w6 w7 w8
queue-scheduler wfq w1 w2 w3 w4 w5
Utilizar a priorização por WFQ Opcional
w6 w7 w8
Utilizar a priorização por queue-scheduler sp+wrr w1 w2 w3 w4
Opcional
SP+WRR w5 w6 w7 w8
Utilizar a priorização por queue-scheduler sp+wfq w1 w2 w3 w4
Opcional
SP+WFQ w5 w6 w7 w8
Restaurar a priorização padrão no queue-scheduler Opcional
Visualização das informações show queue-scheduler Opcional
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração da função de
[no] queue-scheduler dscp-map Opcional
mapeamento DSCP
OLT4840E(config)#show queue-scheduler
Queue scheduler status : enable
Queue scheduler mode : WRR (Weighted Round Robin)
Queue0 weight is 1
Queue1 weight is 2
Queue2 weight is 3
Queue3 weight is 4
Queue4 weight is 5
Queue5 weight is 6
273
Queue6 weight is 7
Queue7 weight is 8
»» Restaure as configurações de priorização padrão:
OLT4840E(config)#no queue-scheduler
Recover queue scheduler to default value(strict-priority) successfully.
OLT4840E(config)#show queue-scheduler
Queue scheduler status : enable
Queue scheduler mode : SP (Strict Priority)
16. Controle de encaminhamento
16.1. Controle de largura de banda
O controle de largura de é usada para limitar a taxa total de mensagens recebidas
ou enviadas da porta.
Configuração de limite de largura de banda por porta
Na porta, configure o limite de largura de banda para a direção de entrada / saída
da porta.
»» Configure o limite de largura de banda para a porta:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface ethernet port-number -
configuração de porta
Configuração de limite de
largura de banda de saída [no]bandwidth egress rate Opcional
da porta
Configuração de limite de
largura de banda de entrada [no]bandwidth ingress rate Opcional
da porta
Configuração de limite de
bandwidth queue queue-id { maximum |
largura de banda da porta Opcional
minimum} rate
baseada na fila de prioridade
Cancelar o limite de largura de
no bandwidth queue queue-id {
banda da porta baseada na fila Opcional
maximum | minimum }
de prioridade
274
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração de controle de
bandwidth cpu-queue queue-id {
largura de banda baseado Opcional
maximum | minimum } rate
na CPU
Cancelar o controle de largura no bandwidth cpu-queue queue-id {
Opcional
de banda baseado na CPU maximum | minimum }
»» Visualização e manutenção do limite de largura de banda:
Obrigatório/
Operação Comando
opcional
Visualização do limite de
show bandwidth queue interface [
largura de banda da porta Opcional
ethernet port-number ]
baseada na fila de prioridade
Visualização da largura de
show bandwidth cpu-queue Opcional
banda baseado na CPU
1 2
Tester B
Tester A
OLT
»» Passos de configuração:
»» Configure o controle de largura de banda:
OLT4840E(config)#interface ethernet 0/1
275
OLT4840E(config-if-ethernet-0/1)#bandwidth ingress 1024
OLT4840E(config-if-ethernet-0/1)#exit
16.2. Função de storm-control
A função Storm-Control é implementada no modo de configuração da porta. Ou seja,
o administrador pode definir diferentes políticas de storm control para diferentes
portas.
»» Configuração do Storm-control:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet device/slot/port -
configuração de porta
Configuração do tipo de
Storm-control {broadcast |multicast
mensagem de storm-control e Opcional
|unicast} target-rate
o limiar de supressão
276
Exemplo de configuração de storm-control
»» Ative o storm-control na porta 1 e defina o valor de transmissão broadcast para
128 pps, o valor transmissão de multicast desconhecido para de 256 pps e o
valor de transmissão unicast (um alto volume de unicast) desconhecido para de
512 pps.
277
17. Proteção contra ataques
17.1. Função Antiataque DOS
O ataque DOS é um método de ataque simples e eficaz, muito prejudicial para mui-
tas tecnologias de rede. Ele utiliza vários meios para consumir largura de banda da
rede e recursos do sistema, ou atacar defeitos do sistema, de modo que o serviço é
paralisado e não pode atender o usuário normalmente (consegue negar o acesso aos
usuários). Configure o ataque anti-TTL.De acordo com o padrão, o campo TTL no ca-
beçalho IP deve ser maior que 0. Por padrão, se a mensagem de TTL = 0 for recebida,
a opção descarta a mensagem como um ataque, mas permite que a mensagem de
TTL = 0 seja descartada.
Antiataque TTL
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional, por
padrão as
mensagens
Habilitar o antiataque TTL anti-dos ip ttl
com TTL
= 0 são
descartadas
Opcional,
após a
configuração,
Desabilitar o antiataque TTL no anti-dos ip ttl
as mensagens
normais serão
processadas
Visualização das informações
show anti-dos Opcional
da configuração
278
»» Configuração do antiataque por fragmento IP:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional,
não existe
Definir o número máximo de comando de
[no]anti-dos ip fragment maxnumbers
mensagens IP permitido restauração
para o valor
inicial de 800
Visualização das informações
show anti-dos Opcional
de configuração
Exemplo de configuração
»» Requisitos de rede:
O PC se conecta diretamente ao OLT. Verifique se o OLT manipula mais do que o
número de fragmentos permitidos e o fragmento normal, respectivamente.
OLT: ip = 10.5.2.134; PC IP = 10.5.2.91
2
PC
OLT
»» Passos de configuração:
»» Configure uma mensagem IP para ter até dois fragmentos:
OLT4840E(config)#anti-dos ip fragment 2
»» OLT precisa de dois fragmentos da mensagem IP, você pode se comunicar cor-
retamente.
OLT4840E (config)#ping -l 2800 10.5.2.91
PING 10.5.2.91: with 2800 bytes of data:
reply from 10.5.2.91: bytes=2800 time<10ms TTL=64
279
reply from 10.5.2.91: bytes=2800 time<10ms TTL=64
reply from 10.5.2.91: bytes=2800 time<10ms TTL=64
reply from 10.5.2.91: bytes=2800 time<10ms TTL=64
reply from 10.5.2.91: bytes=2800 time<10ms TTL=64
----10.5.2.91 PING Statistics----
5 packets transmitted, 5 packets received, 0% packet loss
round-trip (ms) min/avg/max = 0/0/0
»» OLT precisa de três fragmentos da mensagem IP, você não pode se comunicar.
OLT4840E(config)#ping -l 3000 10.5.2.91
PING 10.5.2.91: with 3000 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
no answer from 10.5.2.91
»» Remova a configuração de fragmentação IP (restaure o valor padrão de 800) e
em seguida envie três partes de mensagens IP, a comunicação é normal.
OLT4840E(config)#no anti-dos ip fragment
OLT4840E(config)#ping -l 3000 10.5.2.91
PING 10.5.2.91: with 3000 bytes of data:
reply from 10.5.2.91: bytes=3000 time=10ms TTL=64
reply from 10.5.2.91: bytes=3000 time<10ms TTL=64
reply from 10.5.2.91: bytes=3000 time=10ms TTL=64
reply from 10.5.2.91: bytes=3000 time<10ms TTL=64
reply from 10.5.2.91: bytes=3000 time<10ms TTL=64
----10.5.2.91 PING Statistics----
5 packets transmitted, 5 packets received, 0% packet loss
round-trip (ms) min/avg/max = 0/4/10
280
17.2. Função de CPU-car
Um grande número de mensagens na CPU fará com que ela fique ocupada. Esta
função é usada para limitar a taxa de recepção de mensagens pela CPU.
Configuração do CPU-car
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional,
não existe
comando de
Configuração da taxa de
[no] cpu-car value restauração
CPU-car
para o valor
inicial de
400pps
Visualização das informações
show anti-dos Opcional
de configuração
Visualização das estatísticas de show cpu-statistics [ ethernet port-
Opcional
pacotes recebidos na porta number]
Limpar as estatísticas de
clear cpu-statistics Opcional
pacotes recebidos na porta
Visualização das estatísticas de show cpu-classification [interface
Opcional
classificação de pacotes ethernet port-number]
Limpar as estatísticas de clear cpu-classification [interface
Opcional
classificação de pacotes ethernet port-number]
Visualização da utilização
show cpu-utilization Opcional
da cpu
281
Exemplo de configuração
»» Requisitos de rede:
Limite a taxa de mensagem para menos de 50 pps no OLT.
2
Tester A
OLT
Diagrama de CPU-car
»» Passos de configuração:
»» Configure a velocidade do CPU-car para 50pps.
OLT4840E(config-if-ethernet-0/2)#port-car-rate 50
»» Exiba as configurações:
OLT4840E(config)#show cpu-car
Send packet to cpu rate = 50 pps.
»» Validação de resultados:
»» Tester A envia mensagens de solicitação icmp para o OLT a uma taxa de 100
pps por 10 segundos, o número total de mensagens no OLT é 600, indicando
que a função cpu-car funciona.
OLT4840E(config)#clear cpu-statistics
OLT4840E(config)#clear cpu-classification
OLT4840E(config)#clear interface
OLT4840E(config)#show cpu-statistics ethernet 0/2
Show packets sent to cpu statistic information
port 64Byte 128Byte 256Byte 512Byte 1024Byte 2048Byte
e0/2 600 0 0 0 0 0
OLT4840E(config)#show cpu-classification
282
Type Count Percent(%)
Total 600 100
BPDU 0 0
ERRP 0 0
ARP 0 0
MLD 0 0
IGMP 0 0
ICMP 600 100
OSPF 0 0
RIP 0 0
DHCP 0 0
SNMP 0 0
Telnet 0 0
PIM 0 0
BGP 0 0
SSH 0 0
Other 0 0
OLT4840E(config)#show statistics interface ethernet 0/2
Port number : e0/2
last 5 minutes input rate 5248 bits/sec, 10 packets/sec
last 5 minutes output rate 433832 bits/sec, 771 packets/sec
64 byte packets:1048
65-127 byte packets:0
128-255 byte packets:0
256-511 byte packets:0
512-1023 byte packets:0
1024-1518 byte packets:0
1048 packets input, 67072 bytes , 0 discarded packets
1048 unicasts, 0 multicasts, 0 broadcasts
283
0 input errors, 0 FCS error, 0 symbol error, 0 false carrier
0 runts, 0 giants
19 packets output, 1215 bytes, 0 discarded packets
0 unicasts, 9 multicasts, 10 broadcasts
0 output errors, 0 deferred, 0 collisions
0 late collisions
Total entries: 1.
17.3. Função de shutdown-control
Quando a rede está em loop ou recebe um ataque malicioso, muitas mensagens
serão enviadas, elas desperdiçam largura de banda ou até geram um colapso na
borda que afetará o uso normal de outros usuários. A função de shutdown-control é
usada para evitar mensagens excessivas na rede. Ele monitora a largura de banda de
cada porta no OLT. Quando o número de mensagens desconhecidas recebidas pela
porta excede a segurança definida pelo administrador, a função de shutdown-control
desliga automaticamente a porta para garantir que os outros links e dispositivos
estejam protegidos do impacto na rede.
Habilite/desabilite o shutdown-control
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet port-num -
configuração de porta
Habilitar e configurar a taxa shutdown-control {broadcast |multicast |
Obrigatório
para shutdown unicast} rate
no shutdown-control {broadcast |multicast |
Função de shutdown Opcional
unicast}
Visualização das informações show shutdown-control interface [
Opcional
de configuração ethernet port-numer ]
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração do modo de [no] shutdown-control-recover mode
Opcional
restauração {automatic | manual}
Opcional,
por padrão é
definido em
Configuração do período de [no] shutdown-control-recover
480s, apenas
restauração automática automatic-open-time value
válido para
restauração
automática
Visualização das informações show shutdown-control interface [
Opcional
de configuração ethernet port-number ]
»» Restauração manual de porta desligada:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface ethernet port-number Obrigatório
configuração de porta
Comando para desligar uma
shutdown Obrigatório
porta
Restauração da porta no shutdown Obrigatório
Exemplo de configuração
»» Requisitos de rede:
A porta 2 que recebe taxa de unicast desconhecida é limitada para 1000pps, se for
desligada, recupera automaticamente após 480s (valor padrão) é usado para o ciclo
de recuperação.
285
2
Tester A
OLT
»» Passos de configuração:
»» Ative a função de shutdown-control para unicast desconhecido e defina a taxa
para 1000 pps.
OLT4840E(config)#interface ethernet 0/2
OLT4840E(config-if-ethernet-0/2)#shutdown-control unicast 1000
OLT4840E(config-if-ethernet-0/2)#ex
#Exiba as informações de configuração
OLT4840E(config)#show shutdown-control interface ethernet 0/2
port shutdown control recover mode : automatic
Port recover time(second) : 480
port shutdown control information :
PortID Broadcast Broadcast Multicast Multicast Unicast Unicast RemainTime
status value status value status value
e0/2 disable - disable - enable 1000 -
Total entries: 1
»» Validação de resultados:
OLT4840E(config)#logging monitor 0
The tester sends an unknown message to the OLT 0/2 at a rate of 1100 pps.
OLT4840E(config)#05:12:04: Switch: %DEVICE-3-LINKUPDOWN: e0/2 LinkDown.
05:12:04: Switch: %OAM-5-SHUTDOWN-CTRL: port e0/2 was shutdown.
286
OLT4840E(config)#show shutdown-control interface ethernet 0/2
port shutdown control recover mode : automatic
Port recover time(second) : 480
port shutdown control information :
PortID Broadcast Broadcast Multicast Multicast Unicast Unicast RemainTime
status value status value status value
e0/2 disable - disable - enable 1000 07min48sec
Total entries: 1 .
OLT4840E(config)#show interface brief ethernet 0/2
Port Desc Link shutdn Speed Pri PVID Mode TagVlan UtVlan
e0/2 downERROR auto 0 1 hyb 1
Total entries: 1 .
OLT4840E(config)#05:20:06: Switch: %DEVICE-3-LINKUPDOWN: e0/2 LinkUp.
05:20:08: Switch: %OAM-5-PORTRECOVER: port e0/2 recover.
287
Depois de ativar esta função, todos os ARP que passarão pelo OLT serão re-
direcionados para a CPU para uma verificação. Os pacotes ARP serão ve-
rificados um por um se eles correspondem a tabela ARP estática, a tabe-
la de ligação estática ip-source-guard e a tabela DHCP-snooping. Se passar
pela inspeção de acompanhamento este pacote ARP pode ser transmitido.
Se não passar pela inspeção o pacote será tratado de acordo com a estratégia
configurada: descartar ou Flood (enviar para todas as portas), a função de ataque
Anti-ARP-Spoofing vem desativada por padrão.
Visão geral de ataque por ARP-Flooding
O ataque de flooding do ARP aproveita esta falha do mecanismo ARP, enviando
aleatoriamente muitos pacotes ARP para atacar o equipamento na rede local (LAN).
O objetivo principal do invasor da ARP é impactar a CPU do equipamento da rede
e em seguida, esgotar os recursos da CPU do equipamento do core. O OLT deve
julgá-lo antes do tempo e proibir a transmissão do pacote de inundação de modo a
defender ataques deste tipo.
A função ARP Anti-Flooding pode identificar cada fluxo de ARP e em seguida, avaliar
se é um ataque de flooding ARP de acordo com o valor de taxa ARP configurado.
O OLT tomará como ataque de flooding se o tráfego ARP de um determinado host
exceder o valor de taxa ARP configurada, ele colocará este host na lista negra para
proibir a transmissão de seus pacotes.
Para facilitar o gerenciamento e a manutenção dos administradores de rede, ele pode
ser capaz de executar auto-protect e salvar mensagens de aviso relevantes. Quanto
aos usuários que foram proibidos, o administrador pode configurá-los como: recupe-
ração manual ou recuperação automática.
O processo no OLT é o seguinte:
1. Habilite a função Anti-Flood do ARP, informe o pacote ARP para a CPU, identifique
o fluxo diferente de acordo com o endereço MAC de origem do pacote ARP;
2. Configure a taxa ARP. O OLT tomará como ataque ARP se a taxa exceder o valor
de limite configurado;
3. Se você selecionar o comando de Deny-All (negar todos), quando um tráfego de
ARP exceder o valor de limite configurado, o OLT colocará este endereço MAC na
lista de endereços de blackhole e proibirá a transmissão de todos pacotes com
esse endereço de origem;
4. Se você selecionar o comando Deny-ARP (negar ARP), quando um tráfego exce-
der o valor limite configurado, o OLT proíbira apenas os pacotes ARP com esse
288
endereço de origem;
5. Quanto à recuperação das mensagens que estão proibidas de serem encaminha-
das, o administrador pode configurar o tempo de recuperação como recuperação
automática ou recuperação manual.
Configuração de Anti-Spoofing
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Habilitar o Anti-Spoofing ARP arp anti-spoofing Obrigatório
Desabilitar o Anti-Spoofing
no arp anti-spoofing Opcional
ARP
O pacote ARP
desconhecido
refere-se ao
IP desses
pacotes ARP
que não
correspondem
a nenhum
item das
opções da
Configuração da abordagem
arp anti-spoofing unknown {diacard | tabela estática
de mensagem desconhecida:
flood} do ARP, da
descartar o Flood
tabela IP-
soure-guard
e da tabela
DHCP-
Snooping.
Em outras
palavras, este
IP não existe
em nenhuma
tabela.
289
Configuração de proteção de host
A configuração de proteção de host significa que ao vincular IP+porta, esse IP só
poderá gerar Flood para outras interfaces através dessa porta. Se o pacote ARP deste
IP acessar de outras portas, ele será descartado.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Habilitar o Anti-Spoofing ARP arp anti-spoofing Obrigatório
Configuração do modo de
processo de descarte da arp anti-spoofing unknown flood Obrigatório
mensagem ARP desconhecida
Configuração da proteção host-guard bind ip ipaddress interface
Obrigatório
de host ethernet device/slot/port
no host-guard bind { ip ipaddress|
Remover porteção de host
interface ethernet device/slot/port }
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Habilitar o Anti-Spoofing ARP arp anti-spoofing Obrigatório
Habilitar a inspeção de
arp anti-spoofing valid-check Obrigatório
consistência
Desabilitar a inspeção de
no arp anti-spoofing valid-check Opcional
consistência
290
Configuração do Anti-Gateway-Spoofing
O equipamento não pode atuar como gateway, mas pode ser capaz de configurar
uma lista de de gateway corretos (IP+MAC). Se algum dispositivo na LAN tentar
simular ser o gateway através de mensagens ARP, o OLT descartará estes pacotes
depois de comparar com a lista configurada e identificar que o MAC é de um invasor.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Habilitar o Anti-Spoofing ARP arp anti-spoofing Obrigatório
arp anti-spoofing deny-disguiser
Habilitar o Anti-Spoofing Obrigatório
ipadress mac
Desabilitar o Anti-Gateway-
no arp anti-spoofing deny-disguiser Opcional
Spoofing
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface ethernet device/slot/port -
configuração de porta
Opcional,não
Configuração de porta
arp anti trust confiável por
confiável
padrão
Restaurar padrão não confiável no arp anti trust Opcional
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Habilitar o Anti-Flood arp anti-flood Obrigatório
291
Obrigatório/
Operação Comando
opcional
Desabilitar o Anti-Flood no arp anti-flood Opcional
Opcional,
Configuração do limite de por padrão
arp anti-flood threshold threshold
segurança o limite é de
16pps
Opcional,
Configuração do
por padrão
processamento de ataque do arp anti-flood action {deny-arp|deny-all}
ele utilizará o
dispositivo
Deny_ARP
Opcional.
Intervalo
de tempo
configurável
é <0-1440>
minutos. Se
você definir
o valor como
Configuração do tempo de
arp anti-flood recover-time time sendo 0,
restauração de usuário banido
significa
que deve ser
restaurado
manualmente.
Por padrão,
o tempo de
recuperação é
de 10 minutos.
Voltar a encaminhar pacotes
arp anti-flood recover {H:H:H:H:H:H | all} Opcional
de um usuário banido
Opcional,
somente
Víncule o blackhole dinâmico arp anti-flood bind blackhole quando o
com o blackhole estático {H:H:H:H:H:H | all} modo de
processamento
é Deny-All
Acesse o modo de
interface ethernet device/slot/port -
configuração de portas
292
Obrigatório/
Operação Comando
opcional
Opcional,
funciona
apenas se o
Configuração do limite para
arp anti-flood threshold threshold limite da porta
a porta
for menor
que o limite
global
Visualização e manutenção
Obrigatório/
Operação Comando
opcional
Visualização do status da
show arp anti interface Opcional
interface
293
Exemplo de configuração de Anti-Spoofing ARP
»» Requisitos de rede:
Conforme exibido na figura, a porta Eth 0/1 porta se conecta ao servidor DHCP,
porta Eth 0/2 e a porta Eth 0/3 se conectam ao Cliente A e B, respectivamente. Além
disso, essas três portas estão voltadas para a VLAN 1.
Habilite DHCP-Snooping, configure a porta Eth 0/1 como a porta de confiança do
DHCP-Snooping para habilitar o Anti-ARP-Spoofing.
DHCP server
Porta 1
OLT
Trust
DHCP snooping
Porta 2
Porta 3
Host A Host C
Diagrama de rede
»» Etapas de configuração:
»» Habilitar DHCP-Snooping:
OLT4840E(config)#dhcp-snooping
294
»» Defina a porta Ethernet 0/1 como a porta de confiança do DHCP-Snooping
OLT4840E(config-if-ethernet-0/1)#dhcp-snooping trust
Config DHCP-Snooping mode of port successfully.
»» Tabela de vínculo de IP-soure-guard
OLT4840E(config)#ip-source-guard bind ip 192.168.5.10 mac 40:16:9f:f2:75:a8 in
terface ethernet 0/3 vlan 1
Add ip-source-guard bind entry successfully.
»» Ativar função Anti-ARP-Spoofing
OLT4840E(config)#arp anti-spoofing
OLT4840E(config)#arp anti-spoofing unknown discard
OLT4840E(config)#interface ethernet 0/1
OLT4840E(config-if-ethernet-0/1)#arp anti trust
Cliente A DHCP obtém IP para formar a tabela de clientes DHCP-Snooping.
O cliente A encaminha a mensagem ARP para DHCP-Server, DHCP-Server pode
receber esta mensagem.
Cliente B configurado como static ip = 192.168.5.10, MAC = 40:16:9f:f2:75:a8.
Cliente B encaminha a mensagem ARP para o DHCP-Server, que pode receber
esta mensagem de ARP.
Se o cliente B habilitar o Anti-ARP-Spoofing, fonte IP da mensagem ARP =
Cliente A, o equipamento descartará a mensagem se considerar que esta é uma
mensagem falsa.
Esta instância estima se esta mensagem ARP é falsa ou não de acordo com a
tabela de clientes do DHCP-Snooping, tabela de bind ip-soure-guard ou tabela
ARP estática.
296
Porta designada
Depois de eleger o OLT de root e a porta root, você precisa escolher uma porta para
alcançar o OLT root em cada link, que é a porta designada. Especificar uma porta
requer as seguintes condições:
»» Em dois OLTs de um link, serão selecionadas as portas no OLT que têm o menor
custo do trajeto acumulado para o OLT root. Se o custo acumulado dos dois OLTs
for o mesmo, será selecionado o OLT com o ID mais baixo.
»» Se vários links no mesmo OLT estiverem conectados ao OLT root, a porta OLT com
a prioridade mais baixa é selecionada como a porta designada. Se as prioridades
forem iguais, será selecionada a porta com o número mais baixo como a porta
designada.
18.2. Introdução ao RSTP
Rapid Spanning Tree Protocol é uma versão otimizada do protocolo STP. Rápido
significa que, quando uma porta é selecionada como uma porta root e uma porta
designada, o atraso para a entrada no estado de reencaminhamento é encurtado
em certas condições, o que reduzirá o tempo necessário para que a rede atinja a
estabilidade.
»» A condição para a transição rápida da porta root é: a porta root antiga no dis-
positivo parou de encaminhar e a porta a de upstream começou a encaminhar dados.
»» A condição para a transição rápida de porta específica é: a porta é uma
porta de borda ou está conectada a um link ponto a ponto. Para o primeiro caso,
a porta pode entrar diretamente no estado de encaminhamento. Já no segundo,
o dispositivo pode entrar no estado de encaminhamento imediatamente após ter
recebido handshake do dispositivo em downstream.
O RSTP pode convergir rapidamente. No entanto, existem as seguintes desvantagens
com relação ao STP: todas as bridges em uma LAN compartilham um spanning tree e
não podem bloquear links redundantes de acordo com a VLAN, todas as mensagens
da VLAN são encaminhadas ao longo de uma spanning tree.
297
18.3. Configuração de spanning tree
O comando de configuração de STP / RSTP são os mesmos.
Habilitar o spanning tree
Após a inicialização global, todas as portas participarão no cálculo da topologia do
spanning tree. Se o administrador deseja excluir algumas portas do cálculo do STP, é
possível usar o comando no spanning-tree no modo de configuração para desativá-la.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Obrigatório,
o comando
Habilitar o spanning tree
no spanning tree é válido para
globalmente
STP / RSTP /
MSTP
Desligar o spanning tree
no spanning tree Opcional
globalmente
Selecionar o modo do spanning
spanning-tree mode { stp | rstp | mstp } Opcional
tree
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Spanning tree na porta spanning-tree Opcional
Desativar o spanning tree
no spanning-tree Opcional
na porta
Obs.: depois que o spanning tree está habilitado globalmente, o sistema funciona no
modo RSTP por padrão.
298
Configurar a prioridade de bridge no OLT
A prioridade da bridge do OLT determina se ele pode ser selecionado como o root
do STP. Ao configurar uma prioridade menor de bridge, você pode especificar que um
OLT se torne o root da spanning tree.
Por padrão, a prioridade da bridge do OLT é 32768.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configurar a prioridade do STP spanning-tree bridge priority Opcional
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configurar o intervalo de
spanning-tree hello-time seconds Opcional
mensagem de Hello
Configurar o Forward Delay
spanning-tree forward-delay seconds Opcional
do sistema
Configurar o aging time do
spanning-tree max-age seconds Opcional
sistema
Obs.: » Um valor de Hello Time excessivamente longo faz com que a bridge con-
sidere uma falha de link e comece a recalcular o spanning tree devido a
uma falsa perda de pacote. Um valor excessivamente curto de Hello Time
faz com que a bridge envie informações de configuração com frequência,
aumentando a carga da CPU. Hello Time está no intervalo de 1 a 10 se-
gundos. Recomenda-se usar o valor padrão de 2 segundos, devendo ser
inferior ou igual ao foward delay-2.
»» Se o foward delay for muito pequeno, um caminho redundante temporário
pode ser introduzido; se for muito grande, a rede pode não retomar a
comunicação por um longo período de tempo. Seu valor deve estar no in-
tervalo de 4 a 30 segundos. Recomenda-se usar o padrão de 15 segundos.
Ele deve ser maior ou igual ao Hello time + 2.
299
»» Max Age define o intervalo de tempo máximo para a mensagem STP. Se
expirar, a mensagem é descartada. Se esse valor for muito pequeno, o
cálculo do spanning tree pode ser mais frequente, o congestionamento
da rede pode ser confundido com a falha do link de rede; se esse valor
for muito grande, pode não ser propício para detectar a falha do link em
tempo hábil. O valor Max Age varia de 6 a 40 segundos e depende do
diâmetro da rede. Recomenda-se o valor padrão de 20 segundos. O Max
Age deve ser maior ou igual a 2 * (Hello Time + 1) e menor ou igual a 2
* (Forward Delay-1).
Configuração do custo de caminho da porta
Ao configurar o custo do caminho de uma porta, esta pode se tornar uma porta root
ou uma porta designada facilmente.
Este custo depende da taxa de link da porta, quanto maior a taxa, menor ele será.
O STP pode detectar automaticamente a taxa de link da porta e traduzi-la para o
custo do caminho correspondente, seu valor varia de 1 a 65.535. Recomenda-se
usar o valor padrão e alterar o custo de uma porta fará com que o spanning tree
seja recalculado.
Quando a velocidade da porta é de 10M, o valor padrão é 20,00,000. O valor padrão
é 200,000 para 100M e 20,000 é o valor padrão para 1000M. Quando a taxa de
porta não está disponível, o custo do caminho é 200.000 por padrão.
»» Configuração do custo de caminho da porta:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet interface-num Opcional
configuração de porta
Modificar o custo de caminho
spanning-tree cost path-cost Opcional
da porta
300
»» Configuração do custo de caminho do grupo de agregação:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Definir o custo do caminho do channel-group id spanning-tree cost
Opcional
grupo de agregação path-cost
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet interface-num Opcional
configuração de porta
Configurar a prioridade STP
spanning-tree port-priority priority Opcional
da porta
301
»» Configuração da função de Mcheck:
Obrigatório/
Operação Comando
opcional
Acesse o modo de configure terminal -
configuração global
Acesse o modo de interface ethernet interface-num Opcional
configuração de porta
Executar a função Mcheck spanning-tree mcheck Opcional
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Configuração de porta para
spanning-tree portfast Obrigatório
porta de borda
Configuração de porta para
no spanning-tree portfast Opcional
deixar de ser porta de borda
302
Definir a porta para enviar a taxa máxima de BPDU
A taxa máxima de BPDU enviada por porta é o número máximo de mensagens BPDU
enviadas em cada Hello time.
Por padrão, a taxa de BPDU enviada pela porta envia 3 por Hello time.
»» Definir a porta para enviar a Taxa Máxima de BPDU:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Definir a porta para enviar a
spanning-tree transit-limit transit-limit Opcional
Taxa Máxima de BPDU
303
»» Configuração da função de proteção de root da porta:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração da proteção de
spanning-tree root-guard action {block-
root para o processamento de Obrigatório
port | drop-packets}
mensagem
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Habilitar a proteção de root
spanning-tree root-guard Obrigatório
para a porta
Desabilitar a proteção de root
no spanning-tree root-guard Opcional
para a porta
304
Configuração da função de BPDU-Guard
Para um dispositivo de camada de acesso, uma porta de acesso geralmente está
diretamente conectada a um terminal de usuário (como um PC) ou um servidor de
arquivos. Nesse caso, esta porta é configurada como uma porta de borda para im-
plementar uma transição rápida. Quando ela recebe mensagens BPDU, o sistema irá
configurá-la automaticamente como portas não-borda e recalcular os spanning tree
para gerar as mudanças na topologia da rede. Essas portas normalmente não devem
receber uma mensagem BPDU. Se alguém forjar uma BPDU para atacar maliciosa-
mente o dispositivo, a rede ficará instável.
O dispositivo fornece a função de proteção BPDU para evitar tais ataques: após a ativa-
ção da função de proteção BPDU em um dispositivo, se uma porta configurada com um
atributo de porta de borda receber uma mensagem BPDU, o dispositivo desligará a porta
e solicitará ao usuário a informação Syslog. A porta deve ser restaurada manualmente.
»» Configuração da função de BPDU-Guard:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
Configure terminal -
configuração global
No modo
Global, esta
Habilitar o BPDU-Guard função é
Spanning-tree bpdu-guard
globalmente habilitada
em todas as
portas
Desabilitar o BPDU-Guard
No spanning-tree bpdu-guard Opcional
globalmente
Acesse o modo de
Interface ethernet interface-num -
configuração de porta
Esta função
Habilitar o BPDU-Guard terá efeito
Spanning-tree bpdu-guard
globalmente apenas em
uma porta
Desabilitar o BPDU-Guard
No spanning-tree bpdu-guard Opcional
globalmente
Obs.: a função de proteção BPDU da porta só faz efeito na porta configurada com
o atributo de porta de borda. Se esta porta receber uma mensagem BPDU de outra
porta e tornar-se uma porta comum novamente e a função de proteção BPDU estiver
habilitada, ela só executará as ações se for reiniciada como uma porta de borda.
305
Configuração da função de filtro BPDU
Depois que o filtro BPDU é definido na porta de borda, o dispositivo descartará a
mensagem BPDU recebida e a porta não enviará mais essa mensagem.
»» Configuração da função BPDU-Filter para a porta:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
No modo
Global, esta
Habilitar o BPDU-Filter função é
spanning-tree bpdu-filter
globalmente habilitada
em todas as
portas
Desabilitar o BPDU-Filter
no spanning-tree bpdu-filter Opcional
globalmente
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Esta função
Habilitar o BPDU-Filter na terá efeito
spanning-tree bpdu-filter
interface apenas em
uma porta
Desabilitar o BPDU-Filter
no spanning-tree bpdu-filter Opcional
globalmente
306
Função BPDU-Car
Se um grande número de mensagens de BPDU estão na CPU, ela poderá apresentar
problemas. A função BPDU-Car limita a taxa de mensagem bppu na CPU, para evitar
estas situações.
»» Configuração do BPDU-Car:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional, está
Habilitar/desabilitar o
[no]port-car habilitado por
BPDU-Car
padrão
Opcional,
por padrão
Configuração de taxa de BPDU
port-car-rae value (número de
na CPU
portas * 30)
pps
Acesse o modo de
interface ethernet port-number -
configuração de porta
Opcional, está
Habilitar/desabilitar o
[no]port-car habilitado por
BPDU-Car
padrão
Configuração de taxa de BPDU Opcional, por
port-car-rae value
na CPU padrão 30pps
Visualização das informações
show port-car Opcional
de configuração
307
Função Discard-BPDU
A função Discard-BPDU é usada para descartar a mensagem STP. Se o dispositivo
não quiser receber mensagens BPDU de outras redes, esta função deve ser ativada.
A função Discard-BPDU está desativada por padrão. A configuração global e a con-
figuração da porta são mutuamente exclusivas: globalmente, todas as portas estão
habilitadas. Se você só precisa ativar certas portas designadas, não é necessário con-
figurá-las globalmente.
»» Configuração do Discard-BPDU global:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional, está
Habilitar/desabilitar o BPDU [no]discard-bpdu desabilitado
por padrão
Visualização das informações
show discard-bpdu Opcional
de configuração
»» Configurção do Discard-BPDU na porta:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface ethernet port-number -
configuração de porta
Opcional, está
Habilitar/desabilitar o BPDU [no]discard-bpdu desabilitado
por padrão
Visualização das informações
show discard-bpdu Opcional
de configuração
308
Visualização e manutenção
Depois de completar a configuração acima, você pode usar o seguinte comando para
visualizar a configuração.
Obrigatório/
Operação Comando
opcional
Ethernet 0/2
Ethernet 0/2
OLT B OLT C
»» Requisitos de rede:
Como exibido acima, o OLT-A atua como a bridge de root. OLT-B atua como a bridge
designada. Os links que ligam OLT-B e OLT-C são links de backup. OLT-B, OLT-A ou
OLT-C falham, o link de backup funciona.
309
»» Procedimento de configuração:
»» Configuração do OLT A:
»» Configure a porta ethernet0/1 e a porta ethernet0/2 como trunk:
OLT4840E(config)#interface range ethernet 0/1 ethernet 0/2
OLT4840E(config-if-range)#switchport mode trunk
»» Configure a prioridade da bridge OLT4840E para 0. Certifique-se de que o
OLT-A seja a bridge root.
OLT4840E(config)#spanning-tree priority 0
»» Inicie o RSTP globalmente
OLT4840E(config)#spanning-tree
OLT4840E(config)#spanning-tree mode rstp
»» Configuração da OLT B:
»» Configure a porta ethernet0/1 e a porta ethernet0/2 como trunk:
S-switch-B(config)#interface range ethernet 0/1 ethernet 0/2
S-switch-B(config-if-range)#switchport mode trunk
S-switch-B(config-if-range)#exit
»» Configure a prioridade da bridge do OLT-B para 4096, certifique-se de que
OLT-B seja a bridge designada e o custo do caminho da configuração Ether-
net 0/1 e Ethernet 0/2 deve ser 10.
S-switch-B(config)#spanning-tree priority 4096
S-switch-B(config)#interface range ethernet 0/1 ethernet 0/2
S-switch-B(config-if-range)#spanning-tree cost 10
S-switch-B(config-if-range)#exit
»» Inicie o RSTP globalmente.
S-switch-B(config)#spanning-tree
S-switch-B(config)#spanning-tree mode rstp
»» Configuração da OLT C:
»» Configure a porta ethernet0/1 e a porta ethernet0/2 como trunk
S-switch-C(config)#interface range ethernet 0/1 ethernet 0/2
S-switch-C(config-if-range)#switchport mode trunk
S-switch-C(config-if-range)#exit
310
»» Configurar o custo do caminho da Ethernet 0/1 e Ethernet 0/2 para 10.
Certifique-se de que o link que liga OLT-B e OLT-C seja o principal.
S-switch-C(config)#interface range ethernet 0/1 ethernet 0/2
S-switch-C(config-if-range)#spanning-tree cost 10
S-switch-C(config-if-range)#exit
»» Inicie o RSTP globalmente.
S-switch-C(config)#spanning-tree
S-switch-C(config)#spanning-tree mode rstp
S-switch-C(config)# spanning-tree priority 32768
»» Verifique as configurações:
»» Execute o comando de exibição no OLT4840E e veja o resultado da eleição
e o status da porta do RSTP. Os resultados são os seguintes:
OLT4840E(config)#show spanning-tree interface ethernet 0/1 ethernet 0/2
The bridge is executing the IEEE Rapid Spanning Tree protocol
The bridge has priority 0, MAC address: 000a.5a13.b13d
Configured Hello Time 2 second(s), Max Age 20 second(s),
Forward Delay 15 second(s)
Root Bridge has priority 0, MAC address 000a.5a13.b13d
Path cost to root bridge is 0
Stp top change 3 times
OLT A é eleito como a bridge de root, porque o OLT A tem a maior prioridade
em toda a rede. Ethernet 0/1 e Ethernet 0/2 de OLT A são portas designadas.
Elas estão no estado de encaminhamento.
312
»» Execute o comando de exibição no OLT B e visualize o resultado da eleição
e o status da porta do RSTP. A seguinte informação é exibida:
OLT4840E (config)#show spanning-tree interface ethernet 0/1 ethernet 0/2
The bridge is executing the IEEE Rapid Spanning Tree protocol
The bridge has priority 4096, MAC address: 0000.0077.8899
Configured Hello Time 2 second(s), Max Age 20 second(s),
Forward Delay 15 second(s)
Root Bridge has priority 0, MAC address 000a.5a13.b13d
Path cost to root bridge is 10
Stp top change 3 times
313
Port e0/2 of bridge is Forwarding
Spanning tree protocol is enabled
remote loop detect is disabled
The port is a DesignatedPort
Port path cost 10
Port priority 128
root guard disabled and port is not in root-inconsistent state
Designated bridge has priority 4096, MAC address 0000.0077.8899
The Port is a non-edge port
Connected to a point-to-point LAN segment
Maximum transmission limit is 3 BPDUs per hello time
Times: Hello Time 2 second(s), Max Age 20 second(s)
Forward Delay 15 second(s), Message Age 1
sent BPDU: 191
TCN: 0, RST: 178, Config BPDU: 3
received BPDU: 13
TCN: 0, RST: 5, Config BPDU: 8
314
»» Execute o comando de exibição no OLT C e visualize o resultado da eleição
e o status da porta do RSTP. A seguinte informação é exibida:
OLT4840E (config)#show spanning-tree interface ethernet 0/1 ethernet 0/2
The bridge is executing the IEEE Rapid Spanning Tree protocol
The bridge has priority 32768, MAC address: 000a.5a13.f48e
Configured Hello Time 2 second(s), Max Age 20 second(s),
Forward Delay 15 second(s)
Root Bridge has priority 0, MAC address 000a.5a13.b13d
Path cost to root bridge is 20
Stp top change 3 times
315
Port e0/2 of bridge is Discarding
Spanning tree protocol is enabled
remote loop detect is disabled
The port is a AlternatePort
Port path cost 10
Port priority 128
root guard disabled and port is not in root-inconsistent state
Designated bridge has priority 4096, MAC address 0000.0077.8899
The Port is a non-edge port
Connected to a point-to-point LAN segment
Maximum transmission limit is 3 BPDUs per hello time
Times: Hello Time 2 second(s), Max Age 20 second(s)
Forward Delay 15 second(s), Message Age 1
sent BPDU: 8
TCN: 0, RST: 8, Config BPDU: 0
received BPDU: 417
TCN: 0, RST: 418, Config BPDU: 0
316
19. Configuração de Multiple Spanning Tree
19.1. Visão geral de MSTP
O Spanning Tree Protocol não pode migrar o estado das portas rapidamente. Mesmo
no link ponto a ponto ou na borda, ele deve ter um atraso de duas vezes o forward
delay, para que a porta possa ser transferida para o estado de encaminhamento.
O RSTP (Rapid Spanning Tree Protocol) pode convergir a rede mais rapidamente, porém
existem algumas deficiências similares ao STP: todas as bridges da LAN compartilham
um spanning tree e não podem bloquear links redundantes de acordo com a VLAN,
todas as mensagens de VLAN são encaminhadas ao longo deste spanning tree.
O protocolo Multiple Spanning Tree Protocol (MSTP) processa a rede com loop em
uma rede de árvore acíclica para evitar a proliferação e o loop infinito de pacotes
nela. Também fornece vários encaminhamentos redundantes de dados. O balancea-
mento de carga dos dados da VLAN é alcançado durante o seu encaminhamento.
O MSTP é compatível com STP e RSTP, podendo compensar defeitos desta duas tec-
nologias, convergindo rapidamente e distribuindo o tráfego de diferentes VLAN ao
longo de seu próprio caminho. Assim, ele pode fornecer um melhor mecanismo de
compartilhamento de carga para o link redundante.
Unidade de dados do protocolo de bridge
O MSTP usa o BPDU para calcular o spanning tree assim como STP / RSTP. O BPDU
do MSTP carrega informações de configuração do MSTP no OLT.
Conceitos básicos de MSTP
»» Região MST
Elas são compostas por vários OLTs na rede e seus segmentos entre eles. Esses
OLTs são compatíveis com MSTP e possuem o mesmo nome de domínio, a mes-
ma configuração de VLAN para spanning-tree, a mesma versão MSTP e conexão
de ligação física.
Uma rede pode ter múltiplas regiões MST. O usuário pode usar o MSTP para
dividir vários OLTs na mesma região.
317
»» CIST
O spanning tree comum e interno é composto de todos os OLTs e LANs conec-
tados. Esses OLTs podem pertencer a diferentes áreas de MSTP, ou podem exe-
cutar um protocolo STP/ RSTP tradicional. O OLT que executa dois protocolos
em uma rede de multi-spanning tree é considerado apenas na sua própria área.
Depois que a topologia da rede está estável, todo o CIST seleciona uma bridge
de root CIST. Em cada área, a bridge de root na área CIST é eleita como o
caminho mais curto da intra-área para o root CIST.
»» CST
CST é uma sigla para common spanning tree. Se cada área de multiple span-
ning tree tratada como um único OLT, o CST é o spanning tree que conecta
todos esses OLTs individuais.
»» IST
IST é uma sigla para internet spanning tree, que se refere à parte do CIST em
uma área de multiple spanning tree, e também pode ser entendido que o IST
e o CST formam o CIST.
»» MSTI
O MSTI é uma sigla para multiple spanning tree instances. O protocolo MSTI
permite que diferentes VLANs sejam divididas em diferentes spanning trees,
portanto uma pluralidade de instâncias de spanning trees é estabelecida. Nor-
malmente, uma instância de spanning tree com o número 0 é o CIST, que pode
ser estendido para toda a rede. A instância do spanning tree que começa a par-
tir de 1 está no interior de uma determinada área. Cada instância do spanning
tree pode receber múltiplas VLANs. Inicialmente, todas as VLANs são atribuídas
no CIST.
Em uma área de multi-spanning tree, todos os MSTIs são independentes uns
dos outros. Eles podem selecionar diferentes OLTs como seus próprios roots.
»» Bridge de root CIST
A bridge root CIST é a bridge com a maior ID de prioridade em toda a rede.
»» Custo de rota externa CIST
O custo do caminho do root externo CIST é o custo do caminho entre a bridge
e o root CIST. Este custo é igual para todas as bridges na mesma região MST.
318
»» Root CIST regional
O root CIST regional é a bridge de menor custo no caminho de root externo.
Na verdade, é a bridge root do IST, ou a bridge virtual da região MST. Se o root
CIST estiver em uma região MST, ele também é a bridge root da região CIST
na região MST.
»» Custo interno da rota de root CIST
O custo interno da rota de root CIST é o custo do caminho do root da região
MST na bridge de root regional CIST, que é válido apenas nesta região.
»» Bridge CIST designada
A bridge designada pela CIST é a mesma que a bridge designada pelo STP.
»» Root MSTI regional
O root MSTI regional é a bridge de root MSTI em cada região do MST. Ela pode
não ser a mesma para diferentes MSTI.
»» Custo interno da rota de root MSTI
O custo interno da rota de root MSTI é o custo do caminho do root da região
MST no root regional do MSTI, que é válido apenas na região.
»» Bridge MSTI designada
A bridge designada pela MSTI é a mesma que a bridge designada pelo STP.
319
Papel da porta
O protocolo MSTP tem atribuição de função de porta semelhante ao RSTP.
Porta root
Root bridge
Porta root
A porta root representa o caminho do OLT atual para a bridge de root da rede, que
possui o menor custo de caminho do root.
320
Porta alternativa (alternative)
Root bridge
Porta alternativa
A porta alternativa atua como o backup do OLT atual para a bridge root da rede.
Quando a porta root falhar, a porta alternativa se torna imediatamente como a nova
porta root.
Porta designada (designated)
Root bridge
Porta designada
Hub
A porta designada pode ser conectada com um OLT em downstream ou uma rede de
área local (LAN), que pode atuar como o caminho da LAN para a bridge root da rede.
321
Porta de backup
Bridge root
Porta
backup
Hub
322
Porta mestre (master)
CIST root
Porta mestre
A porta mestre atua como o caminho mais curto que liga a bridge de root CIST em
várias regiões do spanning tree. A porta mestre é a porta root da bridge de root no
CIST.
Porta de limite (boundary)
O conceito de porta de limite é ligeiramente diferente entre o CIST e cada MSTI. No
CIST, uma porta de limite representa uma porta que se conecta a outra região do
multi-spanning tree. No MSTI, esta função indica que a instância do spanning tree
não está mais estendida nesta porta.
323
Porta de borda (edge)
Nos protocolos RSTP e MSTP, a porta de borda indica que a porta se conecta direta-
mente ao host da rede. Essas portas não precisam esperar para entrar no estado de
encaminhamento e não causam um loop na rede.
Porta
de borda
No caso inicial, o protocolo MSTP (incluindo RSTP) considera todas as portas como
portas de borda, garantindo assim o estabelecimento rápido de topologia de rede.
Se uma delas recebe uma BPDU de outro OLT, a porta retorna ao estado normal.
Se receber uma DPBDU de STP 802.1D, a porta espera um tempo de duas vezes o
forward delay para entrar no estado de encaminhamento.
324
19.2. Configuração do MSTP
Iniciar o MSTP
Depois que a árvore global é gerada automaticamente, todas as portas participam do
cálculo da topologia do spanning tree. Se o administrador deseja excluir determina-
das portas deste cálculo, deve-se usar o comando no spanning-tree para desativar a
função no modo de configuração de porta.
»» Iniciar o MSTP:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Selecionar o modo do spanning
spanning-tree mode mstp Obrigatório
tree
Iniciar o spanning tree
spanning-tree Obrigatório
globalmente
Desativar o spaning tree
no spanning-tree Opcional
globalmente
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Habilitar o spanning tree na
spanning-tree Opcional
porta
Desativar o spanning tree
no spanning-tree Opcional
na porta
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
325
Obrigatório/
Operação Comando
opcional
Configuração do forward delay spanning-tree mst forward-time
Opcional
da bridge forward-time
Configuração do hello time
spanning-tree mst hello-time hello-time Opcional
na bridge
Configuração do max age na
spanning-tree mst max-age max-age Opcional
bridge
Configuração do max hops
spanning-tree mst max-hops max-hops Opcional
na bridge
Obs.: » Um valor de Hello Time excessivamente longo faz com que a bridge con-
sidere uma falha de ligação e comece a recalcular a extensão por causa
da perda de pacotes; um valor muito curto faz com que a bridge envie
informações de configuração com frequência, aumentando a carga da
rede e da CPU. Ele está no intervalo de 1 a 10 segundos. Recomenda-se
usar o valor padrão de 2 segundos. O hello time deve ser menor ou igual
ao forward delay-2.
»» Se o forward delay for muito pequeno, um caminho redundante temporá-
rio pode ser introduzido. Se for muito grande, a rede pode não retomar a
comunicação por um longo período de tempo. Seu valor está no intervalo
de 4 a 30 segundos. Recomenda-se usar o valor padrão 15 segundos. O
tempo de forward delay deve ser maior ou igual ao Hello Time + 2.
»» Max Age define o intervalo de tempo máximo para o envelhecimento da
mensagem do protocolo MSTP. Se o timer expirar, o pacote será descarta-
do. Se o valor for muito pequeno, o cálculo da spanning tree pode ser fre-
quente. É possível interpretar mal o congestionamento da rede como uma
falha no link. Se o valor for muito grande, não é propício para a detecção
de falha do link. O Max Age está na faixa de 6 a 40 segundos. O valor do
tempo Max Age depende do diâmetro da rede da rede comutada. Reco-
menda-se o valor padrão de 20 segundos. O Max Agedeve ser maior ou
igual a 2 * (Hello time + 1) e menor que ou igual a 2 * (Forward delay-1).
326
Configuração do identificador de configuração do MSTP
O identificador de configuração do MSTP inclui o nome da configuração, o nível de
revisão e o mapeamento entre a instância e a VLAN. O MSTP trata a bridge com o
mesmo identificador de configuração e interligação lógica como uma bridge virtual.
»» Configure o identificador de configuração do MSTP:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração da configuração
spanning-tree mst name name Opcional
do nome do MSTP
Configuração do nível de
spanning-tree mst revision revision-level Opcional
revisão do MSTP
Configuração do mapeamento
spanning-tree mst instance instance-num
entre a instância do MSTP e Opcional
vlan vlan
a VLAN
Remover o mapeamento entre no spanning-tree mst instance instance-
Opcional
a instância do MSTP e a VLAN num vlan vlan
327
»» Configurar a prioridade da bridge MSTP:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
328
»» Configuração do tipo de conexão da porta MSTP:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Configuração do tipo de spanning-tree mst link-type point-to-
Opcional
conexão da porta point {auto | forcetrue| forcefalse}
Configuração do custo de rota da porta
O custo de rota da porta é dividido em custos internos e externos. O primeiro é
baseado nos parâmetros de configuração de cada instância MSTP. Ele é usado para
determinar a topologia de diferentes instâncias em cada região MSTP. O último é um
parâmetro independente que determina a topologia do CST composto de regiões.
Ao configurar o custo do caminho de uma porta, o usuário pode facilitar que uma
porta se torne uma porta root ou uma porta designada.
O custo do caminho de uma porta depende da sua taxa do link. Quanto maior, menor
será a configuração do parâmetro. O protocolo MSTP detecta automaticamente a
taxa de link da porta atual e a converte no custo do caminho correspondente.
Configurar o custo do caminho de uma porta Ethernet fará com que o spanning tree
seja recalculado. Ele varia de 1 a 65.535 e recomenda-se usar o valor padrão. Deixe
o protocolo MSTP calcular o custo do caminho da porta atual.
O custo do caminho da porta padrão é baseado na velocidade da porta: 200.000
quando a velocidade da porta é de 10M; 200.000 quando a porta é 100M; 200.000
quando a taxa de porta não está disponível.
»» Configuração do custo de rota da porta:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Configuração do custo de rota spanning-tree mst instance instance-num
Opcional
interna da porta cost cost
Configuração do custo de rota
spanning-tree mst external cost cost Opcional
externa da porta
329
Configuração de prioridade de porta
Em MSTP, a prioridade da porta é baseada nos parâmetros de cada spanning tree.
Ao configurar a prioridade de uma porta, o usuário po facilitar que uma porta seja
uma porta root.
Quanto menor for o valor da prioridade configurado, maior ela será. Alterar esta
informação fará com que o spanning tree seja recalculado. A prioridade do spanning
tree de uma porta varia de 0 a 240 e deve ser um múltiplo inteiro de 16. Por padrão,
a prioridade do spanning tree de porta é 128.
»» Configuração de prioridade de porta:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Configuração de prioridade spanning-tree mst instance instance-num
Opcional
porta port-priority priority
330
»» Configuração de proteção de root da porta:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Habilitar a proteção de root
spanning-tree mst root-guard Opcional
da porta
Desabilitar a proteção de root
no spanning-tree mst root-guard
da porta
Configuração da função Digest Snooping
Quando a porta do OLT se conecta com um OLT da Cisco usando um spanning tree
privado, devido aos protocolos privados, mesmo que as regiões do MST estejam con-
figuradas iguais, eles não podem se comunicar entre si. O recurso de digest snooping
evita que isso aconteça. Depois que a função de Digest snooping é ativada em uma
porta, ao receber estas BPDU do fornecedor OLT, ele as considera como mensagens
da mesma região MST e registra a configuração BPDU. Quando as mensagens BPDU
são enviadas para os OLTs desses fornecedores, o OLT adiciona a configuração de
digest snooping. Desta forma, o OLT implementa o funcionamento entre esses OLTs
na região do MST.
»» Configuração da função Digest Snooping:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Habilitar a função Digest spanning-tree mst config-digest-
Opcional
Snooping snooping
Desabilitar spanning-tree mst no spanning-tree mst
config-digest-snooping config-digest-snooping
331
Configuração da função loop-guard
A função loop-guard: impede uma porta bloqueada adote um estado de encaminha-
mento depois de não receber as informações de configuração da BPDU. Quando a
porta é configurada com esta opção, ela permanece bloqueada mesmo que a BPDU
de configuração não seja recebida.
»» Configuração da função de loop-guard:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
332
Obrigatório/
Operação Comando
opcional
Opcional, no
modo Global,
Habilitar a função BPDU-Guard
[no] spanning-tree mst bpdu-guard será habilitado
globalmente
em todas as
portas
Desabilitar a função BPDU-
no spanning-tree mst bpdu-guard Opcional
Guard globalmente
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Obrigatório,
será habilitado
Habilitar a função BPDU-Guard spanning-tree mst bpdu-guard
em uma única
porta
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
No modo
Global, será
Habilitar a função BPDU-Filter [no] spanning-tree mst bpdu-filter habilitado
em todas as
portas
Desabilitar a função
no spanning-tree mst bpdu-filter Opcional
BPDU-Filter
333
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Opcional, será
habilitado em
Habilitar a função BPDU-Filter [no] spanning-tree mst bpdu-filter
uma única
porta
Desabilitar a função
no spanning-tree mst bpdu-filter Opcional
BPDU-Filter
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Configuração da função
spanning-tree mst mcheck Opcional
Mcheck
Obs.: a função Mcheck requer que a porta envie a mensagem BPDU somente na
porta especificada.
Habilitar/desabilitar a instância MSTP
Para controlar o MSTP de forma flexível, o usuário pode habilitar o recurso DISABLE
(desabilitar) INSTANCE (instância). O efeito deste recurso é semelhante ao da execu-
ção de no spanning-tree no modo STP. A porta mapeada para o VLAN da instância
é encaminhada para todas as conexões.
334
»» Habilitar/desabilitar da instância MSTP:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Obrigatório/
Operação Comando
opcional
Visualização do identificador
show spanning-tree mst config-id
da configuração MSTP
335
Exemplo de configuração de MSTP
RG1 RG2
OLTD
OLTC
Eth0/0/2 Eth0/0/2
Eth0/0/1 Eth0/0/1
Eth0/0/3 Eth0/0/3
OLTA OLTB
Eth0/0/2 Eth0/0/2
Eth0/0/1 Eth0/0/1
»» Requisitos de rede:
Na rede exibida na figura acima, OLT A e OLT C são configurados em um domínio
com o nome RG1 e o MSTI 1 é criado. Configure OLT B e OLT D para outro domínio.
O nome de domínio é RG2 e MSTI1 e MSTI2 são criados.
Configure OLT C como o root CIST. No domínio RG1, OLT C é o root do domínio CIST
e OLTC é o root do domínio do MSTI1. Aplique a função de proteção root às portas
Ethernet 0/1 e Ethernet 0/2 na OLTC. No domínio RG2, OLT D é o root regional CIST,
OLT B é o root regional do MSTI1 e OLT D é o root regional do MSTI2.
O switch L2 conectado a OLT A e OLT B não suporta MSTP. Defina Ethernet 0/1 como
a interface de borda para OLT A e OLT B.
336
»» Passos de configuração:
»» Configure OLT C:
»» Crie VLAN de 1 a 20 e configure as portas Ethernet 0/1 e Ethernet 0/2 como
portas trunk e adicione-as à VLAN 1 a 20.
OLT4840E (config)#interface range ethernet 0/1 ethernet 0/2
OLT4840E (config-if-range)#switchport mode trunk
OLT4840E (config-if-range)#exit
OLT4840E (config)#vlan 1-20
OLT4840E (config-if-vlan)#switchport ethernet 0/1 ethernet 0/2
OLT4840E (config-if-vlan)#exit
»» Configure a região MST do OLT4840E.
OLT4840E (config)#spanning-tree mst name RG1
OLT4840E (config)#spanning-tree mst instance 1 vlan 1-10
»» Defina a prioridade do OLT-C no MSTI 0 a 0, garantindo que o OLT-C seja o
root comum do CIST.
OLT4840E(config)#spanning-tree mst instance 0 priority 0
»» Defina a prioridade do OLT-C no MSTI 1 a 0, garantindo que OLT-C seja o
root comum do MSTI1.
OLT4840E(config)#spanning-tree mst instance 1 priority 0
»» Ative a proteção root na porta Ethernet0 / 1 e Ethernet0 / 2.
OLT4840E(config)#interface range ethernet 0/1 ethernet 0/2
OLT4840E(config-if-range)#spanning-tree mst root-guard
OLT4840E(config-if-range)#exit
»» Habilite o MSTP.
OLT4840E(config)#spanning-tree mode mstp
OLT4840E(config)#spanning-tree
337
»» Configure o OLT-A:
»» Crie VLAN de 1 a 20 e configure as portas Ethernet 0/2 e Ethernet 0/3 como
portas trunk e adicione-as à VLAN 1 a 20.
OLT4840E (config)#interface range ethernet 0/2 ethernet 0/3
OLT4840E (config-if-range)#switchport mode trunk
OLT4840E (config-if-range)#exit
OLT4840E (config)#vlan 1-20
OLT4840E (config-if-vlan)#switchport ethernet 0/2 ethernet 0/3
OLT4840E (config-if-vlan)#exit
»» Configure a região MST do OLT4840E.
OLT4840E (config)#spanning-tree mst name RG1
OLT4840E (config)#spanning-tree mst instance 1 vlan 1-10
»» Configure Ethernet 0/1 como uma interface de borda.
OLT4840E(config)#interface ethernet 0/1
OLT4840E(config-if-ethernet-0/1)#spanning-tree mst portfast
OLT4840E(config-if-ethernet-0/1)#exit
»» Habilitar o MSTP
OLT4840E(config)#spanning-tree mode mstp
OLT4840E(config)#spanning-tree
»» Configure a OLT-D
»» Crie VLAN de 1 a 20 e configure as portas Ethernet 0/1 e Ethernet 0/2 como
portas trunk e adicione-as à VLAN 1 a 20.
OLT4840E (config)#interface range ethernet 0/1 ethernet 0/2
OLT4840E (config-if-range)#switchport mode trunk
OLT4840E (config-if-range)#exit
OLT4840E (config)#vlan 1-20
OLT4840E (config-if-vlan)#switchport ethernet 0/1 ethernet 0/2
OLT4840E (config-if-vlan)#exit
338
»» Configure a região do OLT-D.
OLT4840E(config)#spanning-tree mst name RG2
OLT4840E(config)#spanning-tree mst instance 1 vlan 1-10
OLT4840E(config)#spanning-tree mst instance 2 vlan 11-20
»» Defina a prioridade do OLT-D no MSTI0 para 4096. Certifique-se de que o
OLT-D seja o root da região CIST do RG2.
OLT4840E(config)#spanning-tree mst instance 0 priority 4096
»» Defina a prioridade do OLT-D no MSTI 2 para 0. Certifique-se de que o OLT-D
seja o root da região MSTI 2.
OLT4840E(config)#spanning-tree mst instance 2 priority 0
»» Habilite o MSTP
OLT4840E(config)#spanning-tree mode mstp
OLT4840E(config)#spanning-tree
»» Configure a OLT-B
»» Crie VLAN de 1 a 20 e configure as portas Ethernet 0/2 e Ethernet 0/3 como
portas trunk e adicione-as à VLAN 1 a 20.
OLT4840E (config)#interface range ethernet 0/2 ethernet 0/3
OLT4840E (config-if-range)#switchport mode trunk
OLT4840E (config-if-range)#exit
OLT4840E (config)#vlan 1-20
OLT4840E (config-if-vlan)#switchport ethernet 0/2 ethernet 0/3
OLT4840E (config-if-vlan)#exit
»» Configure a região MST do OLTP.
OLT4840E(config)#spanning-tree mst name RG2
OLT4840E(config)#spanning-tree mst instance 1 vlan 1-10
OLT4840E(config)#spanning-tree mst instance 2 vlan 11-20
»» Defina a prioridade do OLT-B no MSTI 1 a 0, assegure-se de que OLT-B seja
o root do domínio MSTI.
OLT4840E(config)#spanning-tree mst instance 1 priority 0
»» Configure Ethernet 0/1 como uma interface de borda.
OLT4840E(config)#spanning-tree mode mstp
OLT4840E(config)#spanning-tree
339
»» Verificação da configuração:
»» Execute o comando de exibição no OLT-C para ver o resultado da eleição e
o status da porta de multiple spanning tree. Os resultados são os seguintes:
OLT4840E(config)#show spanning-tree mst instance 0 interface ethernet 0/1
ethernet 0/2
Current spanning tree protocol is MSTP
Spanning tree protocol is enable
Bridge id is 0-000a.5a13.f48e
Cist root is 0-000a.5a13.f48e,root port is
Region root is 0-000a.5a13.f48e,root port is
Bridge time:HelloTime 2,MaxAge 20,ForwardDelay 15,MaxHops 20
Cist Root time:HelloTime 2,MaxAge 20,ForwardDelay 15,RemainingHops 20
External root path cost is 0,internal root path cost is 0
340
Port time:HelloTime 2,MaxAge 20,FwdDelay 15,MsgAge 0,RemainingHops
20
Received BPDUs:TCN 0,RST 85,Config BPDU 0
Transmitted BPDUs:TCN 0,RST 86,Config BPDU 0
Como OLT-C tem a prioridade intra-CIST mais alta, OLT-C é selecionado como
o root comum do CIST, e também é a o root regional do RG1. A porta Ethernet
0/1 e a porta Ethernet 0/2 de OLT-C são portas designadas no CIST. Eles estão
no estado de encaminhamento.
OLT-C tem a prioridade mais alta no MSTI1 no domínio RG1, então OLT-C é
selecionado como o root do domínio do MSTI1. Ethernet 0/1 e Ethernet 0/2
são calculados como as portas designadas no MSTI1. Eles estão no estado de
encaminhamento.
342
Root guard disable and port is not in root-inconsistent state
Designated bridge is 32768-000a.5a13.b13d,designated port is e0/1
Port is a(n) edge port,link type is point-to-point
Port time:HelloTime 2,MaxAge 20,FwdDelay 15,MsgAge 0,RemainingHops
19
Received BPDUs:TCN 0,RST 0,Config BPDU 0
Transmitted BPDUs:TCN 0,RST 249,Config BPDU 0
343
OLT4840E(config)#show spanning-tree mst instance 1 interface ethernet 0/1
ethernet 0/2
ethernet 0/3
Current spanning tree protocol is MSTP
Spanning tree protocol is enable
Bridge id is 32768-000a.5a13.b13d
Cist root is 0-000a.5a13.f48e,root port is e0/3
Region root is 0-000a.5a13.f48e,root port is e0/3
Bridge time:HelloTime 2,MaxAge 20,ForwardDelay 15,MaxHops 20
Cist Root time:HelloTime 2,MaxAge 20,ForwardDelay 15,RemainingHops 19
External root path cost is 0,internal root path cost is 200000
344
Transmitted BPDUs:TCN 0,RST 303,Config BPDU 0
Port e0/3 of instance 1 is forwarding
Port role is RootPort, priority is 128
Port external path cost is 200000,internal path cost is 200000
Root guard disable and port is not in root-inconsistent state
Designated bridge is 0-000a.5a13.f48e,designated port is e0/1
Port is a(n) non-edge port,link type is point-to-point
Port time:RemainingHops 19
Received BPDUs:TCN 0,RST 337,Config BPDU 0
Transmitted BPDUs:TCN 0,RST 18,Config BPDU 0
Ethernet 0/3 do OLT-A é a porta root em CIST e MSTI1. Ethernet 0/2 é a porta
designada em CIST e MSTI1. Eles estão no estado de encaminhamento. O
Ethernet 0/1 é a porta de borda e no estado de encaminhamento.
345
Root guard disable and port is not in root-inconsistent state
Designated bridge is 4096-0000.0077.8899,designated port is e0/1
Port is a(n) non-edge port, link type is point-to-point
Port time:HelloTime 2,MaxAge 20,FwdDelay 15,MsgAge 0,RemainingHops
20
Received BPDUs:TCN 0,RST 663,Config BPDU 0
Transmitted BPDUs:TCN 0,RST 58,Config BPDU 0
346
Port e0/1 of instance 1 is forwarding
Port role is RootPort, priority is 128
Port external path cost is 200000,internal path cost is 200000
Root guard disable and port is not in root-inconsistent state
Designated bridge is 0-0000.0a0a.0001,designated port is e0/3
Port is a(n) non-edge port,link type is point-to-point
Port time:RemainingHops 19
Received BPDUs:TCN 0,RST 973,Config BPDU 0
Transmitted BPDUs:TCN 0,RST 370,Config BPDU 0
347
Port e0/1 of instance 2 is forwarding
Port role is DesignatedPort, priority is 128
Port external path cost is 200000,internal path cost is 200000
Root guard disable and port is not in root-inconsistent state
Designated bridge is 0-0000.0077.8899,designated port is e0/1
Port is a(n) non-edge port,link type is point-to-point
Port time:RemainingHops 20
Received BPDUs:TCN 0,RST 1003,Config BPDU 0
Transmitted BPDUs:TCN 0,RST 401,Config BPDU 0
O OLT-D tem uma prioridade mais baixa no CIST do que o OLT-C e Ethernet
0/2 do OLT-D é calculado como a porta root no CIST. Ao mesmo tempo, por-
que o OLT-C e o OLT-D não pertencem ao mesmo domínio, Ethernet 0/2 do
OLT-D é calculado como a porta mestre no MSTI1 e no MSTI2. O OLT-D tem
precedência sobre o OLT-B no CIST e Ethernet 0/1 do OLT-D é calculado como
a porta designada no CIST.
No MSTI1, o OLT-D tem uma prioridade menor do que o OLT-B. O OLT-B é eleito
como ao root regional MSTI1. Portanto, Ethernet 0/1 do OLT-D é calculado
como a porta root.
No MSTI2, o OLT-D tem precedência sobre o OLT-B. O OLT-D é eleito como
o root regional MSTI2. Portanto, Ethernet 0/ do OLT-D é calculado como a
porta designada.
348
»» Execute o comando de exibição no OLT-B para ver o resultado da eleição e
o status da porta de multiple spanning tree. Os resultados são os seguintes:
OLT4840E(config)#show spanning-tree mst instance 0 interface ethernet 0/1
ethernet 0/2
ethernet 0/3
Current spanning tree protocol is MSTP
Spanning tree protocol is enable
Bridge id is 32768-0000.0a0a.0001
Cist root is 0-000a.5a13.f48e,root port is e0/3
Region root is 4096-0000.0077.8899,root port is e0/3
Bridge time:HelloTime 2,MaxAge 20,ForwardDelay 15,MaxHops 20
Cist Root time:HelloTime 2,MaxAge 20,ForwardDelay 15,RemainingHops 19
External root path cost is 200000,internal root path cost is 200000
351
Spanning tree protocol is enable
Bridge id is 32768-0000.0a0a.0001
Cist root is 0-000a.5a13.f48e,root port is e0/3
Region root is 0-0000.0077.8899,root port is e0/3
Bridge time:HelloTime 2,MaxAge 20,ForwardDelay 15,MaxHops 20
Cist Root time:HelloTime 2,MaxAge 20,ForwardDelay 15,RemainingHops 19
External root path cost is 200000,internal root path cost is 200000
Port e0/1 is not a member of instance 2
352
O OLT-D tem uma prioridade mais alta no CIST do que o OLT-B. Ethernet 0/2
do OLT-B é calculado como uma porta alternativa. Como o OLT-B não está no
mesmo domínio que OLT-A, a porta do OLT-B é calculada como portas alterna-
tivas no MSTI1 e no MSTI2.
No MSTI1, a prioridade do OLT-D é menor que a do OLT-B. O OLT-B é eleito
como a raiz do MSTI1. Portanto, Ethernet 0/3 do OLT-B é calculado como a
porta designada.
No MSTI2, a prioridade do OLT-D é maior que a do OLT-B. O OLT-D é eleito
como a raiz do MST2. Portanto, Ethernet 0/3 do OLT-B é calculado como a
porta raiz.
A porta Ethernet 0/1 do OLT-B é uma porta de bordo e contido apenas no
MSTI0 e no MSTI1. Não está incluído no MSTI2. Portanto, está no estado de
encaminhamento no MSTI0 e no MSTI1 e não é exibido no MSTI2.
20. GSTP
20.1. Introdução ao GSTP
O OLT está conectado ao cliente. Se houver um loop na rede do cliente, ele afetará
toda a rede do operador. GSTP serve para resolver este problema. Depois que o GSTP
é ativado em uma porta, o OLT envia periodicamente uma mensagem de detecção.
Se a rede do cliente tiver um loop, o OLT receberá a mensagem de detecção. Nesse
caso, o OLT considera que a rede do cliente possui loop e a porta conectada à porta
do cliente, de acordo com a estratégia de tratamento, é descartada ou desligada.
Algumas pessoas podem perguntar: o spanning tree também pode funcionar como
uma detecção de loop remoto, por que precisaríamos de GSTP? Isso ocorre porque
se a rede do cliente também possui equipamentos para abrir o spanning tree, uma
mudança na topologia da rede do cliente facilmente afeta a rede. Se a rede geral é
conectada a porta do cliente que não pode abrir o spanning tree, como uma alter-
nativa existe o GSTP.
353
20.2. Configuração do GSTP
Habilitação da configuração
»» Habilitar em todas as portas:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
[no] spanning-tree remote-loop-detect
Habilitar em todas as portas Obrigatório
interface
Visualização das informações show spanning-tree remote-loop-detect
Opcional
de configuração interface
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal Obrigatório
configuração global
Habilitar para a porta [no] spanning-tree remote-loop-detect
Obrigatório
designada interface ethernet port-id
Acesse o modo de
interface ethernet port-id Obrigatório
configuração de porta
Habilitar para a porta [no]spanning-tree remote-loop-detect Obrigatório
Visualização das informações show spanning-tree remote-loop-detect
Opcional
de configuração interface [ethernet port-id]
Obs.: existem duas maneiras de configurar para uma porta designada: 1. Digite
a porta especificada e ative o GSTP. 2. Digite a porta especificada quando a porta
estiver ativada globalmente. Ambos possuem o mesmo efeito, apenas uma das ações
é necessária.
Configuração da regra de processamento
Quando o GSTP detecta a existência de loop, existem duas ações possíveis: uma é
descartar os pacotes da porta, a outra é o desligamento da porta, e depois periodica-
mente restaurar a porta; o uso padrão é a porta descartar seus pacotes.
354
»» Configuração da regra de processamento:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal Obrigatório
configuração global
355
»» Configuração do período de detecção:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal Obrigatório
configuração global
Configuração do período de spanning-tree remote-loop-detect
Opcional
detecção interval-time value
Visualização das informações show spanning-tree remote-loop-detect
Opcional
de configuração interface
OLT1
0/2
0/3
OLT2
0/1
0/2
GSTP
356
»» Procedimento de configuração:
»» Configuração do OLT1: habilite a função GSTP da porta 2.
SW1(config)# spanning-tree remote-loop-detect interface ethernet 0/9
SW1(config)#interface range ethernet 0/2
SW1(config-if- 0/2)#no spanning-tree
»» OLT2 conecta a porta 1 e a porta 2 para formar um loop, o GSTP do OLT1 é
exibido como exibido a seguir:
OLT1(config)#show spanning-tree remote-loop-detect interface ethernet 0/2
Loopback-detection action is Discarding
The interval time is 5 second(s)
The recovery time is 20 second(s)
Port Information:
port loopback status
e0/2 Enable Discarding
»» Depois que a política de processamento GSTP for alterada para desligamento,
o GSTP é exibido da seguinte forma:
OLT1(config)#spanning-tree remote-loop-detect action shutdown
OLT1(config)#show spanning-tree remote-loop-detect interface ethernet 0/2
Loopback-detection action is Shutdown
The interval time is 5 second(s)
The recovery time is 20 second(s)
Port Information:
port loopback status
e0/2 Enable Shutdown
21. Configuração de PVST
21.1. Introdução ao PVST
Per-VLAN Spanning Tree é o protocolo privado de spanning tree da Cisco. A VLAN
está mapeada para a instância que é apenas uma instância correspondente a uma
VLAN, pertencente a uma relação de mapeamento.
357
PVST + é uma melhoria da Cisco baseada no PVST para resolver o problema de
trabalhar com outros OLTs de outros fornecedores, permitindo que as informações do
spanning tree padrão IEEE passem para o PVST.
PVST + executa o spanning tree padrão na VLAN 1, e o protocolo PVST é executa-
do em outras VLANs. Como o número de instâncias é limitado, a VLAN 1 e outras
VLANs não configuradas são uniformemente mapeadas para a instância 0 e outras
VLANs que precisam ser configuradas são mapeadas para outras instâncias. Assim,
execute o protocolo padrão do spanning tree no caso 0 e outros exemplos executem
o protocolo PVST.
21.2. Configuração do PVST
Configuração do modo PVST
Depois de habilitar o spanning tree globalmente e configurar o modo PVST, por
padrão, todas as portas participam do cálculo da topologia PVST. Rapid-PVST pode
tornar a transição do estado da porta rápida.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Iniciar o spanning tree spanning-tree Obrigatório
Obrigatório,
Configuração do modo PVST spanning-tree mode pvst por padrão é
RSTP
Configuração do modo PVST
spanning-tree mode rapid-pvst Opcional
fast
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional,
spanning-tree pvst forward-time
Configuração do forward time por padrão é
forward-time
de 15s
»» Configuração do max time:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional, por
Configuração do max-age spanning-tree pvst max-age max-age padrão é de
20s
»» Max-age: define a idade máxima para a mensagem do protocolo PVST. Se ela
expirar, a mensagem será descartada. Se esse valor for muito pequeno, o cálcu-
lo do spanning tree será mais frequente, o congestionamento da rede pode ser
confundido com a falha do link de rede; se esse valor for muito grande, ele não é
propício para a detecção da falha de ligação em tempo. O max age está na faixa
de 6 a 40 segundos. O valor do tempo Max Age depende do diâmetro da rede
comutada. Recomenda-se o valor padrão de 20 segundos. O Max Age deve ser
maior ou igual a 2 * (Hello Time + 1) e menor que ou igual a 2 * (Foward time -1).
Configuração de VLAN e mapeamento de instância
Uma VLAN é mapeada para uma instância PVST, e uma instância corresponde a
uma VLAN.
359
»» Configuração de VLAN e mapeamento de instância:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração da VLAN e spanning-tree pvst ins-id instance-id
Obrigatório
mapeamento de instânci vlan vlan-id
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Configure a prioridade da spanning-tree pvst instance instance-id
Opcional
instância PVST path-cost cost-num
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Opcional, por
Configuração da prioridade spanning-tree pvst instance instance-id
padrão o valor
da porta priority priority
é de 128
Obrigatório/
Operação Comando
opcional
Visualização da informação de show spanning-tree pvst instance brief l
Opcional
configuração do PVST instance-list
Visualização da informação de
debug pvst Opcional
depuração do PVST
361
21.3. Exemplo de configuração do PVST
»» Requisitos de rede:
0/7 0/7
0/8 0/8
OLTA OLTB
OLT4840E(config)#vlan 2-3
OLT4840E(config-if-vlan)#switchport ethernet 0/7 ethernet 0/8
OLT4840E(config-if-vlan)#exit
OLT4840E(config)#interface range ethernet 0/7 to ethernet 0/8
OLT4840E(config-if-range)#switchport mode trunk
OLT4840E(config-if-range)#
2. Habilite o spanning tree, configure o modo do spanning tree como PVST, ma-
pear VLAN 2 para PVST instância 2 e map VLAN 3 para PVST instância 3
OLT4840E(config)#spanning-tree
OLT4840E(config)#spanning-tree mode pvst
OLT4840E(config)#spanning-tree pvst ins-id 2 vlan 2
OLT4840E(config)#spanning-tree pvst ins-id 3 vlan 3
362
OLT4840E(config)#spanning-tree
OLT4840E(config)#spanning-tree mode pvst
OLT4840E(config)#spanning-tree pvst ins-id 2 vlan 2
OLT4840E(config)#spanning-tree pvst ins-id 3 vlan 3
363
e0/7 YES Design FWD 200000 128.7 P2P
e0/8 YES Design FWD 200000 128.8 P2P
364
OLT4840E(config)#interface ethernet 0/8
OLT4840E(config-if-ethernet-0/8)#spanning-tree pvst instance 3 path-cost
20000
5. Veja a informação da instância PVST. Você pode ver que a porta 0/8 da OLTA é
reeleita como a porta root e tem o status de encaminhamento. Neste momento,
pacotes de VLAN 3 são encaminhados através do link onde 0/8 está localizado.
22. Configuração de ERRP
22.1. Introdução a função de ERRP
Ethernet Redundant Ring Protocol (ERRP) é um protocolo especificamente projeta-
do para um anel Ethernet. Ele evita broadcast storms (um volume alto de broa-
cast) causados por loops de dados; quando um link no anel é desconectado, o
caminho de comunicação entre os nós na rede pode ser restaurado rapidamente.
Em comparação com o STP, o ERRP possui mais rapidez na convergência topológica e
no tempo de convergência independentemente do número de nós na rede.
Para evitar conflitos entre ERRP e STP no cálculo do congestionamento da porta /
status de liberação, estas funções são mutuamente exclusivos na porta. Ou seja, o
protocolo STP não pode ser ativado nas portas conectadas ao anel ERRP.
365
Introdução do conceito
Região ERRP
A região ERRP é identificada por um ID (número inteiro). Um conjunto de grupos OLT
configurados com o mesmo ID de domínio, VLAN de controle e conectados entre si
formam um domínio ERRP. Este domínio tem os seguintes elementos constituintes:
»» loop ERRP.
»» VLAN de controle pelo ERRP.
»» Nó mestre.
»» Nó de transporte.
»» Nó de borda e nó de borda assistente.
Loop ERRP
O anel ERRP também é identificado por um ID inteiro, e corresponde fisicamente
a uma topologia Ethernet conectada em anel. Um domínio ERRP consiste em um
ou mútiplos anéis conectados entre si, um deles é o anel mestre e os outros são
sub-anéis. Eles são distinguidos pelo nível especificado no momento da sua configu-
ração, o nível mestre é 0 e o seguinte é 1.
O anel ERRP possui dois estados:
»» Health state: todos os links estão normais e o anel está conectado.
»» Fault state: um link está com defeito. Um ou muitos links físicos da rede estão
desativados.
Papel do nó
O nó do anel ERRP é dividido em nó mestre e nó de trânsito, especificado pelo usuá-
rio. O primeiro é o nó de decisão e controle para proteção. Deve haver apenas um nó
mestre, todos os outro são chamados de nós de trânsito.
Se mais de um anel se cruzarem, eles são designados como um nó de borda e como
nó de borda assistente. O papel de ambos no anel mestre é de nó de transição, no
sub-anel é de nó de borda e de nó de borda assistente. O papel do sub-anel pode
ser especificado pelo usuário. Não existe um requisito especial para distinguir os
dois nós.
Papel da porta
Cada nó de um anel ERRP possui duas portas conectadas. O usuário pode especificar
uma delas como a porta principal e a outra como a porta secundária. A porta princi-
pal do nó mestre é usada para enviar mensagem de detecção (mensagem de Hello),
366
recebida pela porta secundária, as portas do nó de transição funcionam de formas
similares. Para evitar que o circuito cause um broadcast storm, se o anel ERRP estiver
normal, a porta secundária será bloqueada e todas as outras entrarão no estado de
encaminhamento.
Se vários anéis de ERRP se cruzarem, as portas nos nós de intersecção que acessam
o anel primário e o sub-anel (ou seja, a porta do anel primário e o link comum do sub
-anel) são chamadas portas comuns. Somente as portas que acessam os sub-anéis
são chamadas portas de borda. Conceitualmente, uma porta pública não é consi-
derada como uma porta de um sub-anel, é considerada parte do anel principal. A
alteração de estado do link público apenas é relatada ao nó mestre do anel primário.
O nó mestre do sub-anel não precisa saber.
VLAN de controle
A VLAN de controle é usada para transmitir pacotes de protocolo ERRP.
Cada região ERRP possui duas VLANs de controle, chamadas VLAN de controle pri-
mário e VLAN de controle secundário. A mensagem de protocolo do anel primário
é propagada na primeira e a mensagem de protocolo do sub-anel é propagada na
segunda. O usuário precisa especificar a VLAN de controle primário, a VLAN com ID
um número acima da ID especificada é usada como VLAN de controle secundário.
A única porta (porta ERRP) que conecta a Ethernet de cada switch pertence à VLAN
de controle, as outras portas não podem se juntar a ela. A porta ERRP do anel primá-
rio pertence às duas VLANs. A porta ERRP do sub-anel pertence à VLAN de controle
secundário. A VLAN de dados pode conter portas ERRP ou portas não-ERRP. O anel
primário é considerado um nó lógico do sub-anel. Os pacotes de protocolo do sub-a-
nel são transmitidos através do anel primário e processados neles como dados. Os
pacotes de protocolo do anel primário são transmitidos somente nele mesmo. Não
acesse os sub-anéis.
Função de solicitação de consulta
ERRP é usado em conjunto com IGMP-Snooping, se a topologia dele mudar,
o estado de encaminhamento da porta será alterado. Neste caso, se o multi-
cast não for atualizado, o encaminhamento multicast pode apresentar falhas.
Quando ocorre uma alteração, o dispositivo envia uma mensagem de consulta IGMP
geral para todas as portas para gerar um relatório de atualização da entrada de
multicast.
367
Mensagem de protocolo
Message HELLO
A mensagem hello é iniciada pelo nó mestre e detecta a integridade do loop da
rede. O nó mestre envia periodicamente a mensagem HELLO da sua porta primária
e o nó de transição a a encaminha para o próximo, que é então recebido pela porta
secundária. O período de envio é definido pelo timer Hello.
Mensagem de LINK_UP
A mensagem LINK_UP é iniciada pelo nó que recuperou o seu link. Ele informa ao nó
mestre de que há recuperação de link no loop.
Mensagem de LINK_DOWN
A mensagem LINK_DOWN é iniciada pelo nó que apresentar uma falha no link. Ele
informa o nó mestre esta falha de link no loop, abrindo-o.
Mensagem de COMMON_FLUSH_FDB
É iniciado pelo nó mestre e informa os outros nós para atualizarem suas respectivas
tabelas de encaminhamento de endereço MAC. É enviado na falha ou na recupera-
ção do link.
Mensagem de COMPLETE_FLUSH_FDB
É iniciado pelo nó mestre e informa os outros nós para atualizarem suas respectivas
tabelas de encaminhamento de endereço MAC e bloqueia temporariamente o nó de
trânsito e a VLAN de dados. É enviado quando a recuperação do link (ou seja, a porta
secundária do nó mestre recebe os pacotes Hello) está concluída.
Mensagem de EDGE_HELLO
A mensagem EDGE_HELLO é iniciada pelo nó de borda do sub-anel para verificar a
integridade do loop do anel principal no domínio.
Ela é enviada periodicamente pelas duas portas conectadas ao anel primário, que a
processa como uma mensagens dados.
Mensagem de MAJOR_FAULT
A mensagem MAJOR_FAULT é originada pelo nó de borda assistente e in-
forma ao nó de borda que o anel primário do domínio está com falha.
Quando o nó de borda assistente do anel não receber a mensagem EDGE_HELLO,
ele envia uma mensagem MAJOR_FAULT. Após o nó do sub-anel receber esta men-
sagem, ele a encaminha diretamente para o próximo nó até, finalmente, ele mesmo
a receber. Esta mensagem é emitida periodicamente, o período de envio é o timer
368 Edge Hello.
Principio de operação
Health status
O nó mestre envia periodicamente a mensagem hello da sua porta principal, que, por
sua vez, viaja através dos nós de trânsito do anel. Se a porta secundária do nó mestre
receber uma mensagem de Hello antes dela expirar, considera-se que o anel ERRP
está em estado health. O estado do nó mestre reflete a integridade do anel. Quando
a rede do anel está em um estado íntegro (health), ele bloqueia sua porta secundária
para evitar que a mensagem de dados forme um loop de transmissão.
Falha no link
Dois mecanismos são fornecidos para detectar falhas de link:
»» Escalonamento e processamento do LINK_DOWN:
Quando uma porta ERRP do nó de trânsito detecta uma porta em Link Down, é
enviada uma mensagem LINK_DOWN para o nó mestre da porta ERRP conectada
a falha.
Depois de receber a mensagem, o estado do nó é imediatamente alterado para
FAULT. O bloqueio da porta secundária é desativado. A tabela FDB é atualizada e
uma mensagem COMMON_FLUSH_FDB é enviada das portas primária e secundária
para notificar os nós de trânsito para atualizarem suas respectivas tabelas FDB e
aprenderem a nova topologia.
»» Mecanismo de polling:
O mecanismo de relatório de falhas é iniciado pelo nó de trânsito. Para evitar que a
mensagem LINK_DOWN se perca durante a transmissão, o nó mestre implementa o
mecanismo de Polling. Este mecanismo é no qual o nó mestre detecta ativamente o
estado da rede. Ele envia periodicamente a mensagem HELLO da sua porta principal
e, em seguida, transmite-a através dos nós de transmissão.
Se o próprio nó mestre receber a mensagem HELLO da porta secundária a tempo,
isso indica que a rede do anel está completo e manterá a porta secundária bloquea-
da. Se não receber a mensagem HELLO no tempo especificado, considera-se que
ocorreu uma falha. O processo de tratamento de falhas é o mesmo que o mecanismo
de processo do LINK_DOWN.
Recuperação do link
Há duas situações para lidar com a recuperação de link:
»» Escalonamento e processamento do LINK_UP
369
Depois que as portas do nó de trânsito que pertencem à região ERRP são reconec-
tadas, o nó mestre pode demorar para descobrir o link recuperado. Com isso, a rede
pode formar um loop temporário, causando um broadcast storm.
Para evitar isso, o nó de trânsito move-se para o estado de pré-encaminhamento e
bloqueia imediatamente a porta que acabou de ser recuperada, depois de encontrar
a porta que acessa a reconexão da rede de anel. Ao mesmo tempo, o nó de trans-
missão envia uma mensagem LINK_UP para o nó mestre. Depois de receber a men-
sagem LINK_UP do nó transmissor, ele envia um pacote COMMON_FLUSH_FDB das
portas principal e secundária para notificar todos os nós para se atualizarem. A porta
recuperada pelo nó de trânsito apenas libera o estado bloqueado depois de receber o
pacote COMPLETE_FLUSH_FDB ou depois do timer do pré-encaminhamento expirar.
A resposta do nó mestre para a mensagem LINK_UP não representa a recuperação
da rede de anel. Se vários links falharem e, em seguida, um dos links for restaurado,
o mecanismo de relatório LINK_UP e o mecanismo de resposta do nó mestre são
introduzidos para atualizar rapidamente as tabelas FDB dos nós no anel.
»» Processamento de recuperação de rede de anel:
O processamento de recuperação de rede de anel é iniciado pelo nó principal. O nó
mestre envia as mensagens Hello periodicamente da porta principal. Depois que o
link defeituoso na for restaurado, o nó mestre receberá suas próprias mensagens
de teste. Neste caso, o nó mestre primeiro move o estado de volta para o estado
completo, bloqueia a porta secundária e, em seguida, envia a mensagem COMPLE-
TE_FLUSH_FDB. Então, o nodo de transição volta para o estado Link_Up, libera a
porta temporariamente bloqueada e atualiza a tabela FDB.
Se a mensagem COMPLETE_FLUSH_FDB for perdida durante a transmissão, um me-
canismo de backup é adotado para recuperar a porta temporariamente bloqueada.
Se ela não for recebida no tempo especificado, a porta restaura a comunicação de
dados.
Processamento de cruzamento de loops
O multi-anel e single-anel são quase os mesmos. A diferença entre eles é que no
multi-anel vários anéis são introduzidos no mecanismo de detecção do estado do ca-
nal, depois que este é interrompido, a porta de borda é bloqueada antes que a porta
secundária do nó mestre seja liberada, para impedir que o ciclo de dados se forme.
Para obter detalhes, consulte o mecanismo de verificação do estado do canal do
protocolo do subcanal no anel principal.
370
Além disso, quando um nó no anel mestre recebe uma mensagem COMUN-FLUSH-
FDB ou COMPLETE-FLUSH-FDB do sub-anel, ele atualizará a tabela FDB. Isso não faz
com que o nó de trânsito do sub-anel libere a porta temporariamente bloqueada.
Obs.: antes que a interface comece IGMP, o protocolo multicast deve ser habilitado.
22.2. Configuração do ERRP
Habilitar/desabilitar o ERRP
Por padrão, o ERRP está desativado e precisa ser configurado no modo Global.
»» Habilitar/desabilitar o ERRP:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração de domínio
Ao criar um domínio errp, o usuário precisa especificar o ID do domínio e deve con-
figurar o mesmo ID em todos os nós dele. Crie até 16 domínios em um dispositivo.
»» Configuração de domínio:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Criar e acessar o modo de
errp domain domain-id Obrigatório
configuração de domínio
Sair do modo de domínio exit Opcional
Remover o domínio no errp domain domain-id Opcional
Visualização da informação
show errp domain domain-id Opcional
do domínio
371
Configuração da VLAN de controle
A VLAN de controle é usada para transmitir mensagem de protocolo ERRP.
Cada domínio ERRP existem as: VLAN de controle primário e VLAN de controle se-
cundário. As mensagens de protocolo do anel primário são propagadas na primeira,
e as mensagens de protocolo do sub-anel são propagadas na segunda. O usuário
precisa especificar apenas a VLAN de controle primário e o ID um acima será a outra.
Quando uma porta ERRP envia pacotes de protocolo, sempre toma as tags VLAN de
controle, independentemente da porta ERRP estar no modo Trunk.
»» Configuração da VLAN de controle:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração da VLAN de
[no] control-vlan vlan-id Obrigatório
controle
Visulização da VLAN de
show errp control-vlan Opcional
controle
Configuração do anel
Para evitar conflitos entre ERRP e STP no cálculo do status de bloqueio / liberação
de portas, eles são mutuamente exclusivos na porta. Antes de especificar uma porta
ERRP, você deve desativar o STP na porta.
Se um dispositivo estiver em vários anéis ERRP do mesmo domínio, apenas um gran-
de anel pode existir. A função de nó do dispositivo em outros sub-anéis pode ser
apenas o nó de borda ou nó de borda assistente.
O campo ERRP só produz efeitos quando o protocolo e o anel estiverem ativados.
Para isso, o usuário deve primeiro configurar a VLAN de controle.
O anel ERRP é dividido em anel principal e sub-anel. Respectivamente use 0,1.
372
»» Configuração do loop:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
errp domain domain-num -
configuração de domínio
ring ring-id role [ master | transit ]
primary-port [ ethernet port | channel-
Configuração do anel e d nível
group lacp-id ] secondary-port [ ethernet Obrigatório
do anel
port | channel-group lacp-id ] level
level-number
Habilitar o anel ring ring-id enable Obrigatório
Desabilitar o anel ring ring-id disable Opcional
Remover o anel no ring ring-id Opcional
Visualização das informações
show errp domain domain-id ring ring-id Opcional
de anel
Configuração do papel do nó
Obrigatório/
Operação Comando
opcional
Acesse o modo de
errp domain domain-num -
configuração de domínio
ring ring-id role { master | transit }
primary-port [ ethernet port-id | channel-
group lacp-id ] secondary-port [ ethernet
port-id | channel-group lacp-id ] level
level-number Obrigatório
Configuração do papel do nó
ring ring-id role { edge | assistant-edge
common-port [ ethernet port-id |
channel-group lacp-id ] edge-port
[ ethernet port-id | channel-group lacp-id ]
373
»» Configuração do modo de trabalho:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
errp domain domain-num -
configuração de domínio
Opcional
Configuração do modo Padrão work-mode standard
Executar o modo de
work-mode eips-subring Opcional
compatibilidade EIPS
Executar o modo de
work-mode huawei Opcional
compatibilidade RRPP
374
Obrigatório/
Operação Comando
opcional
Acesse o modo de
errp domain domain-id -
configuração de domínio
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Obrigatório/
Operação Comando
opcional
Acesse o modo de
errp domain domain-id -
configuração de domínio
375
Limpar as estatísticas de mensagem de protocolo
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional
Limpar as estatísticas Clear errp [domai-id [ring ring-id] ]
0/8 0/3
0/7 0/4
0/6 0/5
OLT4
OLT3
»» Procedimento de configuração:
»» A configuração do ERRP no OLT1 é conforme:
OLT1(config)# interface range ethernet 0/1 ethernet 0/8
OLT1(config-if-range)#no spanning-tree
OLT1(config-if-range)#exit
OLT1(config)#errp domain 0
376
OLT1(config-errp-domain-0)#ring 0 role master primary-port ethernet 0/1 secon-
dary-port ethernet 0/8 level 0
OLT1(config-errp-domain-0)#control-vlan 100
OLT1(config-errp-domain-0)#ring 0 enable
OLT1(config-errp-domain-0)#exit
OLT1(config)#errp
»» A configuração do ERRP no OLT2 é conforme:
OLT2(config)# interface range ethernet 0/2 ethernet 0/3
OLT2(config-if-range)#no spanning-tree
OLT2(config-if-range)#exit
OLT2(config)#errp domain 0
OLT2(config-errp-domain-0)#ring 0 role transit primary-port ethernet 0/2 secon-
dary-port ethernet 0/3 level 0
OLT2(config-errp-domain-0)#control-vlan 100
OLT2(config-errp-domain-0)#ring 0 enable
OLT2(config-errp-domain-0)#exit
OLT2(config)#errp
»» A configuração do ERRP no OLT3 é conforme:
OLT3(config)# interface range ethernet 0/4 ethernet 0/5
OLT3(config-if-range)#no spanning-tree
OLT3(config-if-range)#exit
OLT3(config)#errp domain 0
OLT3(config-errp-domain-0)#ring 0 role transit primary-port ethernet 0/4 secon-
dary-port ethernet 0/5 level 0
OLT3(config-errp-domain-0)#control-vlan 100
OLT3(config-errp-domain-0)#ring 0 enable
OLT3(config-errp-domain-0)#exit
OLT3(config)#errp
»» A configuração do ERRP no OLT4 é conforme:
OLT4(config)# interface range ethernet 0/6 ethernet 0/7
OLT4(config-if-range)#no spanning-tree
OLT4(config-if-range)#exit
377
OLT4(config)#errp domain 0
OLT4(config-errp-domain-0)#ring 0 role transit primary-port ethernet 0/6 secon-
dary-port ethernet 0/7 level 0
OLT4(config-errp-domain-0)#control-vlan 100
OLT4(config-errp-domain-0)#ring 0 enable
OLT4(config-errp-domain-0)#exit
OLT4(config)#errp
»» Validação dos resultados:
»» Exiba a configuração da VLAN de controle:
OLT1(config)#show errp control-vlan
VLAN name : ERRP domain 0 primary-control-vlan
VLAN ID : 100
VLAN status : ERRP used only
VLAN member : e0/1,e0/8.
Static tagged ports : e0/1,e0/8.
Static untagged ports :
VLAN name : ERRP domain 0 sub-control-vlan
VLAN ID : 101
VLAN status : ERRP used only
VLAN member : e0/1,e0/8.
Static tagged ports : e0/1,e0/8.
Static untagged ports :
Total entries: 2 vlan.
379
23. Configuração do ERPS
23.1. ERPS
Visão geral de ERPS
ERPS (Ethernet Ring Protection Switching) foi lançado pela ITU-T com a taxa de
convergência do nível de telecomunicações. Se todos os dispositivos dentro do anel
suportam este protocolo, eles podem comunicar-se entre si.
Conceito básico de ERPS
O ERPS inclui: o anel ERPS, o nó, a função de porta e o status da porta.
»» Exemplo de ERPS.
A instância EPRS é formada pelo mesmo ID de instância, VLAN de controle e
OLTs interligados.
»» VLAN de controle.
A VLAN de controle transmite o protocolo ERPS, e seus pacotes carregarão a
tag correspondente.
»» RPL.
RPL (Ring Protection Link), Link designado pelo mecanismo que fica bloqueado
enquanto estiver ocioso para evitar loop.
»» Anel ERPS.
O anel é a unidade básica EPRS. Ele é composto por um conjunto de equipa-
mentos interligado na mesma VLAN de controle.
»» Nó.
O OLT adicionado no anel ERPS é chamado de nó. Cada nó não pode ser adi-
cionado a mais de duas portas no mesmo anel ERPS. Eles são divididos em
Proprietário RPL, vizinho, próximo vizinho e comum.
»» Papel da porta.
No ERPS, as funções de porta incluem: proprietário RPL, vizinho, próximo vizi-
nho e comum:
»» Proprietário RPL: um anel ERPS possui apenas uma porta deste tipo confi-
gurada pelo usuário que evita loops no anel ERPS sendo bloqueada. O nó que
possui a porta torna-se o nó Proprietário RPL.
380
»» Vizinho RPL: um anel ERPS possui apenas uma porta deste tipo configu-
rada pelo usuário e deve estar conectada à porta do Proprietário RPL.
Se a rede estiver normal, esta porta também será bloqueada para evitar laços
no anel ERPS. O nó que possui esta porta torna-se o nó vizinho RPL.
»» Próximo vizinho RPL: um anel ERPS pode ter até duas portas deste tipo
configuradas pelo usuário. Ela deve ser a porta que conecta o nó Proprietário
RPL ou o nó Vizinho RPL. Para se tornar o nó do Próximo vizinho RPL, o OLT
deve possuir estas portas.
Obs.: os nós do Próximo vizinho RPL não são muito diferentes dos nós co-
muns. Eles podem ser substituídos por nós comuns.
»» Comum: as portas que não pertencem a nenhuma das classificações citadas
anteriormente são portas comuns. Se o nó tiver apenas portas comum, esse nó
se tornará o nó comum.
»» Status da porta.
No anel ERPS, o status da porta do protocolo ERPS é dividido em três tipos.
»» Encaminhamento: a porta encaminha o tráfego do usuário e recebe/enca-
minha os pacotes R-APS.
»» Descarte: no status de descarte, a porta só pode receber / encaminhar paco-
tes R-APS e não sim pode encaminhar pacotes R-APS de outros nós.
»» Desativar: porta no status Linkdown.
»» Modo de trabalho: modo de operação ERPS.
O modo de trabalho inclui: reversível e não reversível.
»» Reversível: quando o link falhar, o link RPL está no estado de proteção de
liberação e é protegido novamente depois que o link defeituoso for restaurado
para evitar loops.
»» Não reversível: após a rectificação da falha, o nó defeituoso permanece com
defeito (sem entrar no encaminhamento) e o link RPL permanece no estado de
proteção de liberação.
Mecanismo de proteção do anel ERPS
ERPS usa ETH CFM para monitoramento de links. Quando a rede está normal, um
link de bloqueio é configurado na rede de anel, evitando um loop. Se ocorrer uma
falha, um deles é aberto para garantir uma ligação interrupta entre nós. O processo
geral é o seguinte:
381
Conforme exibido na figura a seguir, quando seis dispositivos estão conectados em
um anel e o link está no estado IDLE, o loop é removido através da configuração do
link RPL e do bloqueio da porta (porta Proprietário RPL).
ETH-CC ETH-CC
RPL RPL
ETH-CC ETH-CC owner
ETH-CC
ETH-CC
ETH-CC
ETH-CC
ETH-CC ETH-CC
ETH-CC ETH-CC
RPL RPL
owner
R-APS(SF)
R-APS(SF) R-APS(SF)
382 R-APS(SF)
Diagrama de loop na falha de proteção de rede de anel (falha de link)
Conforme exibido na figura a seguir, quando o link se recupera, ele envia pacotes RAPS
(NR) para outros dispositivos para informá-los. Quando o proprietário do RPL receber o
pacote, bloqueará a porta e enviará a mensagem R-APS (NR, RB) novamente, após algum
tempo. Depois de receber o pacote, os outros nós irão atualizar a entrada FDB e mais
tarde, a porta do nó defeituoso será restaurada para o estado de encaminhamento.
R-APS(NR,RB)
RPL RPL
owner
R-APS(NR)
R-APS(NR) R-APS(NR)
R-APS(NR)
23.2. Configuração do ERPS
Habilitar o ERPS1
»» Habilitar o ERPS:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
383
Exemplo de configuração de ERPS
»» Exemplo de configuração de ERPS:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração da VLAN de
control-vlan vlan id Obrigatório
controle
Configuração do modo de
work-mode {revertive|non revertive} Opcional
trabalho
Opcional, 0
refere-se a o
Configuração do nível do anel ring level anel principal,
1 refere-se a
sub-anel
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração da instância
Opcional
ERPS e acesse o modo de erps instance instance-id
configuração de instância
Obs.: função CFM ETH-CC serve para detectar falha de link, não LINK DOWN, como
single-pass. Se você não usar a função CFM ETH-CC, o ERPS também pode funcionar
normalmente entretanto não pode detectar a falha de single-pass.
Configuração dos controles de tempo do ERPS
O ERPS tem dois timers: timer WTR e timer de proteção.
»» Timer WTR: quando a porta proprietária RPL é restaurada para o estado de enca-
minhamento devido a uma falha, se ela for restaurada algumas portas podem não
ter sido atualizadas a tempo, então inicia-se o timer WTR quando a porta recebe o
pacote RAPS sem falhas para evitar o choque do ponto de bloqueio; se a falha for
recebida antes do término, o timer é desativado. Se um pacote RAPS defeituoso
de outra porta for recebido antes do término, o timer será desabilitado. Se não
receber nenhum pacote RAPS defeituoso de outras portas, ele bloqueará a porta
do Proprietário RPL e os enviará após o tempo limite. Depois de receber o pacote,
as outras portas definem seus estados como encaminhamento.
»» Timer de Guard: após a recuperação de falha, o equipamento envolvido na
falha de ligação ou na falha do nó enviará o pacote R-APS aos outros disposi-
tivos e ele iniciará o timer de Guard. O dispositivo não os processa até que o
timer expire com o objetivo de evitar a recepção de pacotes desatualizados. Se
o dispositivo receber depois que o timer expirar, o estado da porta mudará para
encaminhamento.
385
»» Configurar timeres do ERPS:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração da instância
ERPS e acesse o modo de erps instance instance-id Obrigatório
configuração de instância
Opcional, por
padrão é de
Configuração do timer
wtr-timer timer value 5min, varia
wtr-timer
entre 1 e
12min
Configuração do timer
guard-timer timer value Opcional
guard-timer
386
23.3. Exemplo de configuração
Demanda e ligações da rede
Os dois OLTs formam um único anel. O ETH CFM detecta a falha do link e elimina o
loop através do ERPS. O diagrama de rede é o seguinte:
OLT1 OLT2
0/2 0/3
0/3 0/5
Diagrama de rede da configuração do ERPS
388
port0 ethernet 0/3 neighbour
port1 ethernet 0/5
ring enable
exit
Obs.: » CFM MD formato teste nome da string teste ERPS nível 1.
»» Aqui, o nível refere-se ao nível MEG, ou seja, o MEL no ERPS precisa ser
configurado no mesmo.
»» CFM MA teste de nome de string teste ERPS VLAN-primária 100.
»» Aqui a VLAN-primária 100 precisa ser a mesma que a VLAN de controle ERPS.
»» Mep e rmep precisam de correspondência um-para-um.
Validação de resultados
A porta 0/2 do OLT1 e a porta 0/3 do OLT2 são bloqueadas e o loop é removido.
OLT1 (config)#show erps
ERPS state: enable
Instance Id : 0
Mel : 1
Work-mode : revertive
Time value : WTR 5 min, guard timer 500 ms, holdoff timer 0 s
Ring 1 info:
Control vlan: 100
Status : enable
Node Role : owner
Level : 1
Stm : Idle
portId role state nodeId BPR
port0 e0/2 owner Blocking 00:01:7f:00:00:11 0
port1 e0/3 Common Forwarding 10:7b:ef:fd:4b:cd 0
389
24. Configuração de rota estática
24.1. Visão geral de rota estática
O OLT possui tabela de roteamento para a camada 3, permitindo apenas entradas
estáticas.
Obrigatório/
Operação Comando
opcional
390
Visualização da tabela de show ip route ecmp[ ip-address [ mask ]
Opcional
roteamento ECMP | static]
24.3. Exemplo de configuração
»» Adicione um roteamento de rede para 192.168.0.100, configure 10.11.0.254
como o próximo salto.
OLT4840E(config)#ip route 192.168.0.100 255.255.0.0 10.11.0.254
»» Exclua um roteamento de rede para 192.168.0.100.
OLT4840E(config)#no ip route 192.168.0.100 255.255.0.0
»» Exclua todo o roteamento estático.
OLT4840E(config)#no ip route static all
»» Exiba as informações de roteamento ECMP de 192.168.0.100.
OLT4840E(config)#show ip route ecmp 192.168.0.100
»» Exiba todas as informações de roteamento ECMP.
OLT4840E(config)#show ip route ecmp
»» Exiba as informações de roteamento de 192.168.0.100.
OLT4840E(config)#show ip route 192.168.0.100
»» Exiba todas as informações de roteamento.
OLT4840E(config)#show ip route
25. Configuração 802.1 X
25.1. Visão geral de 802.1 x
O IEEE 802.1X é o de protocolo de gerenciamento de acesso aprovado em junho
de 2001. Uma rede LAN tradicional não fornece acesso à autenticação, é possível
acessar os todos dispositivos e recursos apenas ao conectar-se à LAN, gerando uma
lacuna de segurança. Para aplicação como de um escritório móvel e CPN, o provedor
de dispositivos precisa controlar e configurar a conexão do usuário.
391
O IEEE 802.1X é uma tecnologia de controle de acesso à rede baseada na autenti-
cação e controle de acesso de dispositivos por nível de conexão física de dispositivos
LAN, ou seja, a interface dos dispositivos LAN OLT. Durante uma autenticação, o OLT
é o intermediário entre cliente e o servidor. Este protocolo obtém a identidade do
usuário do cliente e verifica a sua informação através do servidor de autenticação. Se
as informações deste usuário forem válidas, este usuário tem permissão para acessar
os recursos da LAN ou, se não, ele será recusado.
Autenticação 802.1x
O 802.1X opera no modelo de cliente / servidor típico e define três entidades: sistema
solicitante, sistema de autenticação e sistema de servidor de autenticação:
»» Sistema solicitante: precisa acessar a LAN e utilizar os serviços fornecidos pelo
equipamento OLT (como o PC), o cliente deve suportar o acordo EAPOL e executar
o software do cliente de autenticação IEEE 802.1X.
»» Sistema de autenticação: no sistema Ethernet, o OLT de autenticação é usado
principalmente para carregar e fornecer informações de usuários, controlando se
a porta está disponível de acordo com o resultado da autenticação. Como se
atuasse como proxy entre o cliente e o servidor.
»» Servidor de autenticação: normalmente se refere ao servidor RADIUS. Este
verifica a identidade do cliente (nome do usuário e senha) para determinar se ele
tem permissão para acessar a rede. Após o final da autenticação, os resultados
serão enviados para o OLT.
Sistema solicitante Sistema de autenticação Servidor
EAPoR de autenticação
Serviços oferecidos Autenticador
pelo sistema de CHAP
Solicitante PAE autenticação PAE Sistema autenticação
PAP
Porta não
Porta controlada
controlada
EAPoL LAN
392
Os sistemas acima envolvem três conceitos básicos: PAE, porta controlada, direção
de controle:
»» PAE.
A entidade de acesso a porta (PAE) refere-se à entidade que executa o algoritmo
802.1x e operações de protocolo.
»» PAE é responsável pela realização de algoritmos e operações do protocolo no me-
canismo de autenticação. Ele usa o servidor para autenticar os clientes que preci-
sam acessar a LAN e controla o status autorizado / não autorizado das portas de
acordo com o seu resultado. O cliente PAE responde à solicitação de autenticação
do dispositivo e envia as informações para o dispositivo. Ele também pode enviar
o pedido de autenticação e a solicitação off-line para o dispositivo.
»» Porta controlada e porta não controlada.
Um autenticador fornece portas para que os solicitantes acessem a LAN. Cada uma
pode ser considerada como duas portas lógicas: uma porta controlada e uma porta
não controlada.
»» A porta não controlada sempre está habilitada tanto nas direções de entra-
da como de saída para permitir que os quadros de protocolo EAPOL passem,
garantindo que o solicitante sempre possa enviar e receber quadros de au-
tenticação.
»» A porta controlada é habilitada para permitir o tráfego normal somente quan-
do está no estado autorizado.
»» A porta controlada e a porta não controlada são duas partes da mesma porta.
Quaisquer quadros que chegam a elas são visíveis para ambos.
»» Direção de controle.
No estado não autorizado, a porta é configurada para controle unidirecional: a im-
plementação de controle unidirecional proíbe o envio de informações ao cliente,
mas permite recebê-las.
»» Modo de porta controlada.
»» Autenticação baseada em porta:
Enquanto a primeira autenticação do usuário for bem-sucedida, outros usuá-
rios sem autenticação conectados a mesma porta também podem usar a rede,
quando o usuário autenticado ficar offline, outros usuários não poderão mais
acessar a rede.
»» Autenticação baseada em endereço MAC:
Todos os usuários na porta física precisam ser autenticados separadamente.
393
Processo de autenticação do 802.1x
O sistema de autenticação 802.1x emprega o protocolo de autenticação extensível
(EAP) para trocar informações entre o EAP do solicitante, o autenticador EAP e o
servidor de autenticação.
No momento, o modo EAP suporta quatro métodos: EAP-MD5, EAP-TLS (Transport
Layer Security), EAP-TTLS (Tunneled Transport Layer Security) e PEAP (Protected Ex-
tensible Authentication Protocol).
O OLT suporta o modo EAP-Transfer e o modo EAP-Finish para interagir com o servi-
dor RADIUS para finalizar a autenticação.
»» EAP-Transfer.
A seguir, é exibido um processo necessário para o exemplo de autenticação EAP-
Transfer (solicitante; EAPO; Autenticador; RADIUS; Servidor de autenticação).
EAPOL-Start
EAP-Request/Identity
EAP-Rsponse/Identity
EAP-Request/MD5 Challenge
EAP-Rsponse/MD5 Challenge
Radius Access-Request
(CHAP-Rsponse/MD5 Challenge)
Radius Access-accept
(CHAP-Success)
EAP-Success
394
O processo de autenticação é o seguinte:
1. Quando o usuário precisa acessar a rede, ele informa seu nome de usuário e a
senha registrados pelo cliente 802.1X e inicia a solicitação de conexão (pacote
EAPOL-Start). Neste ponto, o cliente envia a mensagem de solicitação ao dis-
positivo e inicia um processo de autenticação;
2. Depois de receber o quadro de dados solicitado, o dispositivo de acesso envia
uma solicitação (EAP-Request / Identity packet) do nome do usuário;
3. O cliente responde enviando suas informações através do quadro de dados
(pacote EAP-Response / Identity). O dispositivo encapsula o pacote RADIUS
Access-Request e o envia para a autenticação ao servidor para processamento;
4. Depois de receber as informações, o servidor RADIUS compara o nome e a
senha do usuário com sua tabela, encontra os dados correspondentes e os
criptografa com uma chave gerada aleatoriamente. Então envia a senha crip-
tografada para o dispositivo através de um pacote RADIUS Access-Challenge.
A mensagem é encaminhada pelo dispositivo para o cliente;
5. Depois de receber o pacote EAP-Request / MD5 Challenge, o cliente criptografa
a parte recebida (geralmente irreversível) e gera os pacotes EAP-Response /
MD5 Challenge e passa os pacotes de autenticação para o servidor;
6. O servidor RADIUS compara as informações criptografadas recebidas (pacote
RADIUS Access-Request) com as informações de senha criptografada local. Se
forem a mesma, o servidor RADIUS considera que o usuário é um usuário válido
e envia a mensagem -Accept e EAP-Success);
7. Depois de receber a mensagem de autenticação, o dispositivo altera a porta
para o estado autorizado, permitindo ao usuário acessar a rede.
»» EAP-Finsh.
Desta forma, os pacotes EAP são encerrados no terminal do dispositivo e são ma-
peados para pacotes RADIUS. O servidor RADIUS usa o protocolo padrão para com-
pletar autenticação, autorização e contabilidade. Podem ser adotados os métodos
de autenticação PAP ou CHAP. Utilizamos o método de autenticação CHAP como
um exemplo para descrever o fluxo de serviço básico, conforme exibido a seguir
(solicitante; EAPO; Autenticador; Radius; Servidor de autenticação).
395
Eapol Radius
Authentication
Supplicant Authenticator
sever
EAPOL-Start
EAP-Request/Identity
EAP-Rsponse/Identity
EAP-Request/MD5 Challenge
EAP-Rsponse/MD5 Challenge
Radius Access-Request
(CHAP-Rsponse/MD5 Challenge)
Radius Access-accept
(CHAP-Success)
EAP-Success
396
25.2. Configuração do 802.1x
Configuração do EAP
O padrão 802.1x encaminha os pacotes de autenticação (encapsulados com quadros
EAP) do usuário para o servidor RADIUS sem nenhum processamento. No entanto, o
servidor tradicional não suporta o recurso EAP. Portanto, o sistema realiza a conver-
são dos pacotes de autenticação enviados pelo usuário, para os quadros de dados
encapsulados pelo protocolo RADIUS padrão e em seguida, encaminha os pacotes
para o servidor.
»» Configuração do EAP:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Definir o modo de interação do Opcional,
protocolo entre o sistema e o dot1x { eap-finish | eap-transfer } por padrão é
servidor RADIUS eap-finish
Habilitar o 802.1x
O 802.1x fornece um esquema de autenticação de identidade do usuário. No entan-
to, 802.1x não pode implementar o esquema de autenticação sozinho. O RADIUS ou
a autenticação local deve ser configurada para funcionar com 802.1x.
Depois de habilitar o 802.1X, os usuários conectados ao sistema podem acessar os
recursos da LAN somente após terem passado pela autenticação. Ao ativá-la, você
deve indicar se o modo de habilitação é baseado em interface ou endereço MAC.
»» Configuração baseada na autenticação da interface: se um dos usuários
da porta passar a autenticação, outros usuários da mesma porta poderão usar os
recursos da rede mesmo sem autenticação; no entanto, se esse usuário terminar a
sua sessão os outros usuários perderão seus acessos.
397
»» Configuração baseada em autenticação de endereço MAC: cada usuário
sob a porta deve executar uma autenticação separada. Somente aqueles que pas-
saram a autenticação poderão usar os recursos da rede.
»» Habilitar o 802.1x:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
dot1x method { macbased | portbased }
Habilitar o 802.1x Obrigatório
[ interface-list ]
Configuração de re-autenticação
No modo EAP-FINISH, a porta suporta re-autenticação. Depois que o usuário é au-
tenticado, a porta pode ser configurada para re-certificação imediata ou re-autenti-
cação periódica.
398
»» Configuração de re-autenticação:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Re-autenticação periódica
dot1x re-authentication [ interface-list ] Opcional
habilitada em uma porta
Configuração do tempo de
dot1x re-authperiod time [ interface-list ] Opcional
re-autenticação periódica
Configuração da função Watch
Depois de habilitar esta função, uma porta envia uma mensagem de clock periodica-
mente quando nenhum usuário está presente, fazendo com que os usuários execu-
tem a autenticação 802.1x.
Esta função é usada para oferecer suporte a clientes que não podem enviar pacotes
EAPOL-Start, como clientes 802.1X. Nosso dispositivo envia um pacote EAP-Request /
Identity para o cliente a cada N segundos para ativar a autenticação.
»» Configuração da função Watch:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
399
Configuração de usuários
Estas funções realizam principalmente as configurações para o número de usuários
da porta, exclusão de usuários, operações de detecção de pulsação, etc.
»» Detecção de pulsação: após esta função estar habilitada, o dispositivo envia
periodicamente EAP-Request / Identity para as portas do cliente, o cliente conec-
tado responde com a EAP-Rsponse / Identity. Se os quatro pacotes EAP-Request
/ Identity consecutivos não receberem uma respossta, o dispositivo considera o
usuário offline e em seguida, apagará a sessão e alterará a porta para um estado
não autorizado.
»» Função Quiet: após a autenticação do usuário falhar, o dispositivo precisa de um
período de tempo de recuperação (pode ser configurado através do dot1x quiet
-period-value, por padrão, não é necessário). Durante este período, o autenticador
não processa pedidos de autenticação.
»» Configuração de usuários:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configurar o número máximo
de usuários que podem passar dot1x max-user [ interface-list ] Opcional
pela autenticação
Remover o um usuário online dot1x user cut { username name | mac-
Opcional
específico address mac [ vlan vid ] }
Opcional, 25s
Habilitar a deteção de pulsação dot1x detect [ interface-list ]
por padrão
Configuração de intevalo de
dot1x detect interval time Opcional
deteção de pulsação
400
Configurar o modo de host com base no modo de autenticação da porta
A configuração do modo de host só produz efeito no método de autenticação ba-
seado em porta; se a porta for configurada para ter uma autenticação baseada em
MAC, o modo Host automaticamente se tornará inválido. Modos de host:
»» multi-hosts: quando uma autenticação de usuário é aprovada na porta, outros
usuários da porta podem acessar a rede sem autenticação.
»» single-host: permite que apenas uma autenticação passe e todos os outros
usuários não poderão acessar a rede nem passar pela autenticação.
»» Configuração do modo de host:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configurar o modo de host
dot1x portbased host-mode { multi-
com base no modo de Opcional
hosts | single-host }[ interface-list ]
autenticação da porta
401
»» Configuração da VLAN ativa padrão:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração da VLAN ativa dot1x default-active-vlan vlan-id [
Opcional
padrão interface-list ]
no dot1x default-active-vlan interface
Remover a VLAN ativa padrão {interface_type interface_num | interface_ Opcional
name }
Configuração da VLAN RADIUS
Quando o usuário 802.1X passa a autenticação via servidor RADIUS, ele transmitirá
as informações de autenticação para o dispositivo. Se ele ativou a função Radius
e o servidor está configurado para distribuir VLAN (adotando o atributo Tunnel-P-
vt-Group-ID (81)), as informações de autenticação incluirão as VLANs distribuídas
como consequência e o dispositivo irá adicionar a interface online de autenticação
de usuário à VLAN distribuída por radius.
»» Configuração da VLAN RADIUS:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Aecsse o modo de
aaa -
configuração AAA
Opcional,
Habilitar a função de
radius vlan enable desativado
distribuição da VLAN RADIUS
por padrão
Obs.: » Antes de usar esta função, você deve criar a VLAN correspondente e em
seguida adicionar a interface do usuário nela, assim como a Guest VLAN
e Default-active-VLAN.
»» O RADIUS distribui a VLAN, mas não altera a configuração original da
interface, assim como a Guest VLAN e Default-active-VLAN.
»» A VLAN radius, a Guest VLAN e a Default-active-VLAN são efetivas tanto na
autenticação baseada em porta quanto na autenticação baseada em MAC.
402
Configurar a transmissão EAPOL
Quando uma porta desabilita a autenticação 802.1x, é preciso transmitir a men-
sagem 802.1x EAPOL do usuário. Assim, o equipamento funcionará como o relé,
os usuários podem executar a autenticação 802.1x no equipamento superior. Esta
função só pode lidar com o pacote EAPOL encaminhado para a CPU. Para pacotes
que não se encaminham para a CPU, os pacotes são processados pelo hardware e
não estão sujeitos a esta configuração. Você pode configurar a porta de transmissão
transparente EAPOL e a porta de uplink correspondente somente quando a auten-
ticação 802.1x estiver desabilitada. Ou seja, você não pode configurar a função de
transmissão transparente quando a autenticação 802.1x está habilitada.
»» Configurar a Transmissão EAPOL:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal
configuração global
Habilitar a função de
transmissão de mensagem dot1x eapol-relay [ interface-list ] Opcional
EAPOL da porta
Configurar porta de uplink de
transmissão de mensagem dot1x eapol-relay uplink[ interface-list ] Opcional
EAPOL
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
dot1x security-group [ ip-group name |
Ativação do ACL num ] [ link-group name | num ] [ subitem Opcional
num ]
no dot1x security-group [ ip-group
Desativação do ACL name | num ] [ link-group name | num ] [ Opcional
subitem num ] 403
Obs.: ele deve ser configurado no modo de configuração global. Se você deseja que
uma determinada interface entre em vigor, a configuração da ACL deve incluir as
informações desta interface. Comparado com a ACL distribuída pelo grupo de acesso,
a ACL distribuída pelo canal secreto 802.1X possui maior prioridade.
ACL emitida
Quando um usuário faz logon no servidor RADIUS, se a ACL de autorização estiver
configurada neste servidor (usando o atributo filter-id (11) para configurar a ACL emi-
tida), o dispositivo controla o fluxo de dados da porta na qual o usuário está. Antes
de ativar uma ACL, você precisa configurar as regras correspondentes no dispositivo.
Quando o OLT não suporta o número de série distribuída pelo servidor, ele precisa
usar a função de prefixo ACL. Depois de configurar um prefixo, o OLT pode converter
automaticamente o número de série (adicione o prefixo na frente do número de
série) para finalizar a ACL emitida.
»» ACL emitida:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração do formato String, por
dot1x radius-acl-format{ integer | string}
de ACL padrão
Configuração do prefixo dot1x number-acl-prefix [number-acl- “assignacl-”,
do ACL prefix-name] por padrão
Remover prefixo do ACL no dot1x number-acl-prefix Opcional
Obs.: se você quiser usar a função de distribuição da ACL, você deve configurar a
ACL relacionada primeiro. Ele precisa usar o atributo Filter-Id (11) do servidor radius.
Visualização e manutenção do Dot1x
Obrigatório/
Operação Comando
opcional
Visualização do status da
show dot1x Opcional
função de autenticação 802.1X
Visualização da configuração
da função de watch da show dot1x daemon [ interface interface-
Opcional
interface de autenticação num ]
802.1x
404
Obrigatório/
Operação Comando
opcional
Visualização das configurações
das interfaces, como o modo
de controle de interface, o
estado de re-autenticação, o show dot1x interface [ interface-num ] Opcional
número máximo de usuários
para a autenticação da
interface
Opcional
estado
“online”
do usuário
(número da
show dot1x session [ { interface
Visualização da sessão 802.1x porta, ID
interface-num } | { mac-address mac } ]
da VLAN,
endereço
MAC, nome
de usuário,
etc.)
Visualização da ACL emitida show dot1x radius-acl Opcional
Visualização da configuração show dot1x eapol-relay [ interface
Opcional
de passagem de EAPOL interface-num ]
Visualização da configuração show dot1x detect [ interface interface-
Opcional
da detecção de pulsasão num ]
Visualização das informações show dot1x guest-vlan [ interface
Opcional
de guest VLAN interface-num ]
Visualização do status da
show dot1x port-auth Opcional
autenticação de interface
Visualização do período de
show dot1x quiet-period-value Opcional
silêncio
Visualização das informações
de configuração de canal de show dot1x security-group Opcional
segurança
Depuração do recebimento e
envio de pacotes e modulo de debug dot1x Opcional
processamento do DOT1X
405
25.3. Exemplo de configuração
Requisitos de rede
O nome de usuário de acesso 802.1x local é u1, e a senha é 123. O usuário pode
acessar a internet após o login com sucesso. O diagrama de rede é exibido a seguir:
Servidor Radius
0/3
0/1
Internet
Internet
0/2
OLT
Usuário
Diagrama de rede da configuração 802.1X
Etapas de configuração
»» Ative a autenticação 802.1x da porta 0/1 da OLT:
OLT4840E(config)#dot1x method macbased interface ethernet 0/1
»» Configure a função básica do servidor RADIUS (crie o usuário r1 no servidor
RADIUS, configure o servidor de autenticação mestre para que seja 1.1.1.1, o
servidor primário seja 1.1.1.2, a chave compartilhada de autenticação para ser
123456. Por favor, consulte 26. Configuração RADIUS para maiores detalhes.)
OLT4840E(config-aaa)#radius host 1
OLT4840E(config-aaa-radius-1)#primary-auth-ip 1.1.1.1 1812
OLT4840E(config-aaa-radius-1)#primary-acct-ip 1.1.1.2 1813
OLT4840E(config-aaa-radius-1)#auth-secret-key 123456
OLT4840E(config-aaa-radius-1)#acct-secret-key 123456
OLT4840E(config-aaa)#domain abc.com
OLT4840E(config-aaa-domain-abc.com)#radius host binding 1
OLT4840E(config-aaa-domain-abc.com)#state active
OLT4840E(config-aaa)#default domain-name enable abc.com
406
Validação de resultados
O usuário insere o nome de usuário e a senha no cliente 802.1X para executar a
autenticação. Através do comando de show dot1x session, ele exibe que o usuário
atual passou a autenticação e o login com sucesso, ou seja, o usuário pode acessar
a internet.
OLT4840E(config)#show dot1x session
port vid mac username login time
0/1 1 c8:3a:35:d3:e3:99 u1@abc.com 2000/01/01 05:13:42
26. Configuração RADIUS
26.1. Visão geral de RADIUS
Visão geral de AAA
AAA significa Authentication, Authorization and Accounting (Autenticação, Autori-
zação e Contabilidade).
Ele é, na verdade um gerenciamento de segurança de rede. Aqui, a segurança da rede
refere-se principalmente ao controle de acesso, incluindo os usuários que podem
acessar o servidor de rede, quais serviços estão disponíveis para usuários e a utiliza-
ção dos usuários para cobrança.
Esta função geralmente adota a estrutura cliente / servidor: o cliente é executado no
lado do recurso gerenciado e o servidor armazena as informações do usuário central-
mente. Portanto, o framework AAA possui uma boa escalabilidade e gerenciamento
centralizado das informações do usuário.
407
Utilização do AAA
O diagrama de AAA é exibido na figura a seguir:
Radius server
PC1
ACS
NAS
Internet
Internet
Internet
PC2
Diagrama de quadro AAA
408
»» Ele notifica quando uma sessão começa e termina. Estes dados são utilizados para
fins de faturamento ou estatística.
»» O SNMP é usado para monitoramento remoto.
»» Pode ser usado como um proxy.
Aqui está uma lista de todos os recursos principais do RADIUS:
»» Modelo Cliente / Servidor.
»» O NAS funciona como um cliente para o servidor RADIUS.
»» O servidor RADIUS é responsável por obter solicitações de conexão do usuário,
autenticando-o e retornando todas as informações de configuração necessá-
rias para que o serviço seja entregue.
»» Um servidor RADIUS pode atuar como um cliente proxy para outros servidores
RADIUS.
»» Segurança de rede.
»» As transações entre um cliente e um servidor são autenticadas através do uso
de uma chave compartilhada. Essa chave nunca é enviada pela rede.
»» A senha é criptografada antes ser enviada pela rede.
»» Mecanismos de autenticação flexíveis.
»» Protocolo ponto a ponto - PPP.
»» Protocolo de autenticação de senha - PAP.
»» Protocolo de autenticação de desafio Handshake - CHAP.
»» Login UNIX simples.
»» Protocolo extensível.
»» O RADIUS é extensível; a maioria dos fornecedores de hardware e software
RADIUS implementam seus próprios protocolos.
26.2. Configuração do RADIUS
Configuração do servidor RADIUS
O servidor RADIUS salva a identidade do usuário válido. Após a autenticação, o siste-
ma transfere a identidade do usuário para o servidor RADIUS e transfere a validação
para o usuário. O acesso do usuário ao sistema libera os recursos da LAN somente
após a autenticação do servidor RADIUS.
409
»» Configuração do servidor RADIUS:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo AAA aaa -
Criar e acessar o esquema de
radius host name Obrigatório
configuração RADIUS
Configuração de RADIUS
primary-auth-ip ipaddr port Obrigatório
primário
Configuração de RADIUS
secondary-auth-ip ipaddr port Opcional
secundário
Configuração do servidor de
primary-acct-ip ipaddr port Opcional
autenticação primária
Configuração do servidor
primary-acct-ip ipaddr port Opcional
decundário de autenticação
Configuração da chave
compartilhada do RADIUS auth-secret-key keystring Obrigatório
primário
Configuração da chave
compartilhada do RADIUS acct -secret-key keystring Opcional
secundário
Opcional, se
não houver
configuração,
Configuração do endereço
nas-ipaddress ipaddr será utilizado
NAS-RADIUS
o endereço
IP do
equipamento
Configuração se o nome do
usuário deve ser carregado
com o nome do domínio username-format { with-domain |
Opcional
quando o sistema passa o without-domain }
pacote para o servidor RADIUS
atual
Configuração da autenticação
realtime-account Opcional
em tempo real
Configuração do intervalo de
realtime-account intervaltime Opcional
autenticação em tempo real
410
Troca de servidor RADIUS mestre e servidor RADIUS escravo
RADIUS oferece a função de redundância do servidor mestre / escravo, ou seja: o
servidor mestre operam sempre que estiver funcionando; se houver algo errado com
ele, o servidor escravo será habilitado; assim que o servidor mestre for recuperado,
ele reassumirá a tarefa e o servidor escravo será desativado.
Mecanismos de realização:
Na autenticação do RADIUS, se o servidor mestre não puder executar o trabalho
normalmente, basta configurá-lo como down, então o servidor escravo começará a
funcionar; se o servidor mestre for recuperado, o timer de pré-emissão será ativado (o
tempo é configurado como Preemption-time). Quando este timer atingir seu tempo
limite, o servidor mestre será automaticamente ativado e as operações de autentica-
ção serão realizadas através dele.
»» Troca de servidor RADIUS master e servidor RADIUS slave:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo AAA aaa -
Criar e acessar o esquema de
radius host name Obrigatório
configuração RADIUS
Opcional,
intervalo
de valor de
0-1440,
Configuração do timer de
preemption-time preemption-time unidade em
pré-emissão
minutos.
Por padrão
está definido
como 0
411
Configuração de usuário local
O cliente precisa configurar o nome do usuário local, a senha, etc.
»» Configuração de usuário local:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo AAA aaa -
local-user username name password pwd
Configuração de usuário local Opcional
[ vlan vid ]
Configuração de domínio
O cliente precisa fornecer nome de usuário e senha durante a autenticação. O nome
de usuário geralmente contém informações de domínio e do ISP do usuário corres-
pondente. A informação mais importante do domínio é a autenticação do servidor
RADIUS e a contabilização dos usuários nele.
»» Configuração de domínio:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo AAA aaa -
Configuração do nome do default domain-nameenable domain-
Opcional
domínio padrão name
Desabilitar o nome do domínio
default domain-name disable Opcional
padrão
Criar e acessar um cenário de
domain name Obrigatório
domínio
Configuração para utilização
de um servidor de autenticação schemeradius Opcional
radius
Configuração para utilização
schemelocal Opcional
de authenticação local
412
Obrigatório/
Operação Comando
opcional
Configuração para utilização
de authenticação local após o schemeradiusloca Opcional
radius falhar
Selecionar o servidor radius
radius host binding radius-name Opcional
para o domínio atual
Ativar o limite de número de
usuários de autenticação no
access-limitenable number Opcional
domínio e defina o limite de
número de usuários permitidos
Desativar o limite de número
de usuários de autenticação access-limit disable Opcional
no domínio
Ativar o domínio atual stateactive Obrigatório
Desativar o domínio atual state block Opcional
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo AAA aaa -
Configuração da função accounting-on { enable sen-num |
Opcional
Accounting-on disable }
Configuração da
h3c-cams { enable | disable } Opcional
compatibilidade H3C Cams
Habilitar a funçã de accounting radius accounting Opcional
Se o pacote de accounting
não responder, o usuário é radius server-disconnect drop 1x Opcional
desligado
413
Obrigatório/
Operação Comando
opcional
Configuração de distribuição
de prioridade de portas pelo radius 8021p enable Opcional
RADIUS
Configuração para o RADIUS
radius vlan enable Opcional
distribuir portas PVID
Configuração para o RADIUS
distribuir o número limite de radius mac-address-number enable Opcional
endereços MAC
Configuração para o RADIUS
radius bandwidth-limit enable Opcional
distribuir o controle de banda
414
»» Distribuição do controle de largura de banda pelo RADIUS: após essa
função estar habilitada, se o usuário passar pela autenticação, a largura de ban-
da da porta onde ele estiver localizado será modificada. O controle de largura de
banda de uplink é executado através do número de atributo 75 no Fornecedor
Específico por padrão, que pode ser modificado usando o theradius; o controle
de largura de banda de downlink é realizado através do número de atributo 76
no Fornecedor Específico por padrão, que pode ser modificado usando o atributo
de configuração theradius. A unidade é padrão em kbps e seu valor pode ser
modificado através da radius config-attribute access-bandwidth unit.
»» Distribuição do ACL pelo RADIUS: esta função não possui comandos de
controle. É habilitado por padrão. Configure através de 11 atributos de Filter-Id.
Visualização e manutenção do RADIUS
Obrigatório/
Operação Comando
opcional
Visualização dos atributos
show radius attribute Opcional
do radius
Visualização dos atributos
show radius config-attribute Opcional
do radius
Visualização das informações
de configuração do serviço show radius host hostname Opcional
radius
Habilitar a função de
debug radius Opcional
depuração do radius
415
»» Depois que o usuário passar a autenticação, distribua o controle de largura de
banda através do servidor RADIUS para limitar a largura de banda de ligação
upstream para ser 2M e a largura de banda a downstream para ser 1M.
0/4
0/1
Internet
Internet
0/6
OLT
PC
»» Passos de configuração:
»» Preparação inicial:
»» Instale o cliente 802.1X no PC.
»» Interface de usuário de configuração OLT IP 10.5.3.235/24 para garantir o
ping ao servidor radius:
OLT4840E(config-if-vlanInterface-1)#interface vlan-interface 1
OLT4840E(config-if-vlanInterface-1)#ip address 10.5.3.235 255.255.255.0
This ipaddress will be the primary ipaddress of this interface.
Config ipaddress successfully!
OLT4840E(config-if-vlanInterface-1)#
OLT4840E(config-if-vlanInterface-1)#
OLT4840E(config-if-vlanInterface-1)#exit
OLT4840E(config)#ping 10.5.3.254
PING 10.5.3.254: with 32 bytes of data:
reply from 10.5.3.254: bytes=32 time<10ms TTL=128
reply from 10.5.3.254: bytes=32 time<10ms TTL=128
----10.5.3.254 PING Statistics----
416
2 packets transmitted, 2 packets received, 0% packet loss
round-trip (ms) min/avg/max = 0/0/0
Control-C
»» O servidor radius adiciona o NAS IP e a chave compartilhada é 123456.
»» Configure o nome de usuário (teste) e a senha de autenticação do cliente
802.1x (123456) no servidor radius.
»» O valor do atributo 75 no Fornecedor Específico no servidor radius é definido
como 2048 Kbps e o valor do atributo do 76 no Fornecedor específico é
definido como 1024 Kbps.
»» O valor do atributo do atributo 11 do ID do Filtro no servidor radius é de-
finido como 100.
»» Acesse a porta OLT 0/1 para habilitar o dot1x, configure o serviço relacionado
do RADIUS e configure os ACLs
OLT4840E(config)#dot1x method portbased interface ethernet 0/1 //habilite o
802.1X
OLT4840E(config)#aaa
OLT4840E(config-aaa)#radius host ngn
OLT4840E(config-aaa-radius-ngn)#primary-auth-ip 10.5.3.254 1812// Configure
a função Accouting
authentication IP, and port number
OLT4840E(config-aaa-radius-ngn)#primary-acct-ip 10.5.3.254 1813
OLT4840E(config-aaa-radius-ngn)#auth-secret-key 123456 // Configure para
compartilhar a chave
OLT4840E(config-aaa-radius-ngn)#acct-secret-key 123456
OLT4840E(config-aaa-radius-ngn)#exit
357
OLT4840E(config-aaa)#radius bandwidth-limit enable // Habilitar a função de
envio de banda
OLT4840E(config-aaa)#domain ngn.com
OLT4840E(config-aaa-domain-ngn.com)#radius host binding ngn
OLT4840E(config-aaa-domain-ngn.com)#state active
OLT4840E(config-aaa-domain-ngn.com)#exit
OLT4840E(config-aaa)#default domain-name enable ngn.com
417
OLT4840E(config)#access-list 100 deny any 11.5.3.100 0.0.0.255 // Configure o
ACL para negar acesso ao segmento de rede destino 11.5.3
OLT4840E(config)#access-list 100 permit any any
Validação de resultados
Use o cliente 802.1X PC e, em seguida insira o nome do usuário e a senha para
autenticação.
Depois que a autenticação for bem-sucedida, o usuário pode acessar a rede exter-
na normalmente. A informação dos usuários on-line pode ser encontrada no OLT. O
comando do show dot1x radius-acl exibe o status do acl100 como habilitado e a
largura de banda da direção de entrada da porta 0/1 é limitada a 2048 enquanto a
direção de saída é limitada a 1024.
OLT4840E(config)#show dot1x session
port vid mac username login time
e0/1 1 c8:3a:35:d3:e3:99 test@ngn.com 2000/12/11 15:07:00
Total [1] item(s).
OLT4840E(config)#show dot1x radius-acl
The format of radius acl is string.
The prefix of radius acl is assignacl-.
Port acl Status
e0/1 100 enable
Total entries: 1.
OLT4840E(config)#show bandwidth-control interface ethernet 0/1
port Ingress bandwidth control Egress bandwidth control
e0/1 2048 kbps 1024 kbps
Total entries: 1.
418
27. Configuração de segurança de porta
27.1. Visão geral de seguraça de porta
A segurança da porta geralmente é aplicada na camada de acesso. Ele pode restringir
o host de acessar a rede através do dispositivo e permitir que certos hosts acessem a
rede, enquanto outros hosts não podem acessá-la.
A função de segurança da porta liga o endereço MAC do usuário, o endereço IP, a ID
da VLAN e o número da PORTA com flexibilidade e evita que usuários ilegais acessem
a rede. Isso garante a segurança dos dados da rede e os usuários legais podem obter
largura de banda suficiente.
Os usuários podem restringir os hosts que podem acessar a rede através de três
regras: regra MAC, regra IP e regra MAX. As regras de MAC são divididas em três mé-
todos de ligação: ligação MAC, ligação MAC + IP, ligação MAC + VID; a regra MAX
define o número máximo de endereços MAC que podem ser aprendidos em uma
porta. Este endereço não inclui o número de regras MAC e as regras IP geradas pelo
endereço MAC legítimo. Na regra MAX, existem regras Sticky. Se a regra de negação
só estiver configurada na porta e a regra MAX não estiver configurada, os outros pa-
cotes não podem ser reencaminhados (exceção: permitindo a verificação de regras).
O endereço MAC da regra Sticky pode ser aprendido automaticamente e configurado
manualmente e salvo no arquivo de configuração em execução. Se o arquivo de
configuração for salvo antes que o dispositivo seja reinicializado, o dispositivo não
precisa ser configurado novamente após o dispositivo reiniciar e esses endereços
MAC produzem efeito automaticamente. Quando a função Sticky está habilitada na
porta, o endereço MAC dinâmico aprendido pela regra MAX é adicionado à regra
Sticky e salvo no arquivo de configuração em execução. No caso da regra MAX não
estar cheia, é permitido continuar a aprender o novo endereço MAC e formar a regra
Sticky até que o número de regras Sticky atinja o máximo configurado pelo MAX.
As regras de MAC e as regras de IP podem especificar se as mensagens que cor-
respondem às regras podem se comunicar. O endereço MAC do usuário e a VLAN,
endereço MAC e endereço IP podem ser vinculados de forma flexível pela regra MAC.
Como a segurança da porta é baseada em software, o número de regras não está
limitado pelos recursos de hardware, tornando a configuração mais flexível.
419
As regras da segurança da porta são acionadas pelas mensagens ARP do dispositivo
terminal. Quando o dispositivo recebe uma mensagem ARP, a segurança da porta ex-
trai várias informações de mensagens e combina com as três regras da configuração.
A ordem de correspondência é o endereço MAC, endereço IP e regra MAC. A tabela
de reencaminhamento da Camada 2 da porta é controlada pelo resultado correspon-
dente, para controlar o comportamento de encaminhamento da porta.
Quando a mensagem de decisão de segurança da porta é ilegal, as mensagens são
processadas em conformidade. Existem três modos: proteger, restringir e desligar. O
modo de proteção descarta os pacotes. O modo de restrição descarta mensagens e
alarmes de captura (Receba uma mensagem ilegal em dois minutos do alarme). O
modo Desligamento desligará a porta além de restringir o modo de ação.
420
Obrigatório/
Operação Comando
opcional
Remover o endereço MAC no port-security active-address {all |
Opcional
ativo configured | learned }
Remover todas as
configurações relacionadas à no port-security all Opcional
segurança da porta
Visualização das informações
show port-security [interface list] Opcional
de segurança
Visualização das configurações show port-security mac-address
Opcional
de regras de MAC [interface ethernet port-number ]
Visualização das configurações show port-security ip-address [interface
Opcional
de regras de IP ethernet port-number ]
show port-security active-address [
Visualização do endereço
configured | learned | interface ethernet Opcional
MAC ativo
port-number ]
Visualização da recuperação show port-security recovery [ interface
Opcional
automática de desligamento ethernet port-number ]
Obs.: » Depois que a função de segurança de porta estiver habilitada, ela nega todas as
mensagens por padrão. Portanto, você deve configurar uma das regras MAC \ IP
\ MAX.
»» Se a função STICKY for efetiva, é necessário que a segurança da porta seja ativada
e o número da regra MAX não esteja configurado como 0. Quando esta função é
ativada, os endereços dinâmicos aprendidos na regra MAX anterior são convertidos
para regras Sticky e armazenadas no arquivo de execução. Quando a função está
desativada, as regras Sticky aprendidas são excluídas. O número de entradas da
regra Sticky de uma porta não pode exceder o número configurado de regras MAX.
Se o arquivo de configuração for salvo antes do dispositivo reiniciar, a regra Sticky
salva antes que as reinicializações da porta entram em vigor. Quando a porta está
desligada, há duas maneiras de recuperação:
»» Configurar a porta para desligamento e sem desligamento.
»» Recuperação automática após a configuração do desligamento.
»» Quando a mensagem ilegal é recebida, os alarmes de trap não produzem efeitos
imediatamente. As traps são geradas dentro de dois minutos.
»» Se um endereço MAC ou endereço IP for negado e se o limite superior de MAX não
for atingido, o host não pode comunicar-se.
421
»» A segurança da porta não pode ser ativada juntamente com a autenticação 802.1X
ou MAC.
»» A segurança da porta não pode ser ativada juntamente com inundações anti-ARP.
porta 1
OLT
PC A
00:00:00:11:11:11
»» Passos de configuração:
»» Configure a segurança de porta:
OLT4840E(config)#interface ethernet 0/1
OLT4840E(config-if-ethernet-0/1)#port-security enable
OLT4840E(config-if-ethernet-0/1)#port-security permit mac-address
00:00:00:11:11:11
»» Verifique os resultados:
»» Usando tester emulation no PC A, configure duas placas de rede para obter
endereço IP através do DHCP , configure DHCP-Snooping no OLT, acesse o IP
da seguinte maneira:
OLT4840E(config)#show dhcp-snooping clients
DHCP client information:
d - days, h - hours, m - minutes, s - seconds
IPAddress mac vlan port LeaseTime ExceedTime
192.168.1.100 00:00:00:11:11:11 1 e0/1 1d0h0m0s 23h51m21s
192.168.1.101 00:00:00:54:20:71 1 e0/1 1d0h0m0s 23h55m37s
Total entries: 2. Printed entries: 2.
422
»» Use o OLT para fazer ping nos dois clientes separadamente, obtenha a entrada
ARP e habilite o OLT para estabelecer a tabela de ativação da segurança da
porta.
OLT4840E(config)#show arp all
Informations of ARP
d - days, h - hours, m - minutes, s - seconds
IPAddress Mac_Address Vlan Port Type ExpireTime Status
192.168.1.100 00:00:00:11:11:11 1 e0/1 dynamic 17m52s valid
192.168.1.101 00:00:00:54:20:71 1 e0/1 dynamic 18m12s valid
Total entries:2
»» Exibir os endereços MAC atualmente ativos. Somente são exibidas as entradas
de regras dos MACs permitidos.
OLT4840E(config)#show port-security active-address
Acitve mac-address:
Port MAC address VID IP Addr Derivation Action Age(min)
E1/0/1 00:00:00:11:11:11 1 192.168.1.100 MAC permit 1
Total entries: 1
OLT4840E(config)#debug port-security
OLT4840E(config)#logging monitor 0
»» Tente se comunicar com o OLT usando dois PCs, respectivamente: os resultados
são os seguintes:
»» Use o IP = 192.168.1.100 (MAC = 00: 00:00:11:11:11 correspondem à
segurança da porta de segurança) para executar ping no OLT. Pode se comu-
nicar, o log é o seguinte:
00:29:48: OLT: %PORT-SECURITY-7-debug: port e0/1 recv packet
mac[00:00:00:11:11:11] vlan
[1] type[0x0806]
00:29:48: OLT: %PORT-SECURITY-7-debug: match with MAC RULE
00:29:48: OLT: %PORT-SECURITY-7-debug: action: PERMIT
»» Use a IP = 192.168.1.101 (MAC = 00:00:00:54:20:71 correspondem à
regra de segurança da porta) para fazer ping no OLT. Pode se comunicar,
o log é o seguinte:
00:30:07: OLT: %PORT-SECURITY-7-debug: port e0/1 recv packet
423
mac[00:00:00:54:20:71] vlan
[1] type[0x0806]
00:30:07: OLT: %PORT-SECURITY-7-debug: match with MAX RULE
00:30:07: OLT: %PORT-SECURITY-7-debug: port e0/1 maxnum exceed
# Maxnum rule por padrão é 0, então exceda, a mensagem é descartada.
28. Cliente SNTP
28.1. Introdução a função SNTP
A hora do sistema OLT pode ser alcançado de duas maneiras, uma é como cliente
SNTP, o servidor sincroniza automaticamente os relógios; o outro é a configuração
própria do administrador.
O protocolo de tempo de rede simples (SNTP – Simple Network Time Protocol) é
usado para sincronização de tempo entre dispositivos de rede. Normalmente, um
servidor SNTP existe na rede e fornece tempo de referência para vários clientes. Desta
forma, existe uma sincronia do tempo entre todos os dispositivos conectados.
O SNTP pode funcionar em quatro modos: Unicast, Broadcast, Multicast e Anycast.
No modo Unicast, o cliente inicia uma solicitação para o servidor. Depois de receber
o pedido, o servidor constrói uma mensagem de resposta com base na hora local e
a envia de volta ao cliente.
No modo de Broadcast e multicast, o servidor envia periodicamente mensagens de
broadcast ou multicast para os clientes.
No modo Anycast, o cliente inicia um endereço de broadcast local ou um endereço
multicast para enviar uma solicitação. Nesse caso, o servidor da rede responde ao
cliente, seleciona o servidor do qual recebeu a mensagem e descarta as mensagens
enviadas por outros servidores. Depois disso, o padrão de trabalho é igual ao unicast.
Em todos os modos, o cliente recebe uma mensagem de resposta para analisar e
obter o tempo padrão atual, calculando o atraso da transmissão da rede e a compen-
sação do tempo local através de um determinado algoritmo.
424
28.2. Configuração do cliente SNTP
Habilitar/desabilitar o cliente SNTP
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Obrigatório,
Habilitar/desabilitar o cliente
[no]sntp client desabilitado
SNTP
por padrão
Visualização das informações
de configuração do cliente show sntp client Opcional
SNTP
Visualização do horário do
show clock Opcional
sistema
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional,
Configure o Modo de Trabalho sntp client mode { broadcast | unicast |
broadcast por
do Cliente SNTP multicast | anycast [ key key-id ] }
padrão
Visualização da configuração
show sntp client Opcional
do cliente SNTP
425
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configurar o endereço do
[no]sntp server ip-address Obrigatório
servidor SNTP
Configurar o backup do
[no]sntp server backup ip-address Opcional
servidor SNTP
Visualização das informações
de configuração do cliente show sntp client Opcional
SNTP
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configurar o atraso de Opcional, 3ms
[no]sntp broadcastdelay value
propagação de broadcast por padrão
Visualização das informações
de configuração do cliente show sntp client Opcional
SNTP
426
»» Configuração do TTL multicast:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional, 255
Configurar o TTL multicast sntp client multicast ttl value
por padrão
Visualização das informações
de configuração do cliente show sntp client Opcional
SNTP
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional,
Configurar o intervalo de
[no]sntp client poll-interval value 1000 por
polling
padrão
Visualização das informações
de configuração do cliente show sntp client Opcional
SNTP
427
»» Configure as tentativas de retransmissão de timeout e o intervalo de tempo:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configurar o intervalo de Opcional, 5s
[no]sntp client retransmit-interval value
retransmissão de timeout por padrão
Configurar o número de
Opcional, 0
tentativas de retransmissão [no]sntp client retransmit value
por padrão
de timeout
Visualização das informações
de configuração do cliente show sntp client Opcional
SNTP
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
[no]sntp client summer-time dayly {
start-month start-day start-time end-month
end-day end-time }
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configurar lista de servidores
sntp client valid-server ipaddress wildcard Opcional
legais
Remover lista de servidores Opcional, 0
[no]sntp client retransmit value
legais por padrão
Visualização das informações
de configuração do cliente show sntp client Opcional
SNTP
Configuração de autenticação
Para melhorar ainda mais a segurança, o usuário pode habilitar a autenticação MD5
entre o servidor SNTP e o cliente, assim o cliente recebe apenas mensagens autenti-
cadas. A configuração de autenticação é a seguinte:
»» Configuração de autenticação:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Opcional,
Habilitar/desabilitar
[no] sntp client authenticate desligado por
autenticação
padrão
Configuração de senha de [no]sntp client authentication-key key-
Opcional
autenticação number md5 value
Opcional,
apenas
para modos
Configuração de um ID de Multicast e
[no]sntp trusted-key key-number
senha confiável Broadcast,
deve ser igual
a chave de
autenticação
429
Obrigatório/
Operação Comando
opcional
Opcional,
Configuração do ID de senha deve ser igual
[no]sntp server key key-number
utilizado pelo servidor a chave de
autenticação
Configuração do ID de senha
sntp client mode anycast key key-number Opcional
para configuração anycast
Visualização das informações
show sntp client Opcional
de configuração do cliente SNTP
430
Exemplo:
»» Configure o relógio do sistema:
OLT4840E#clock set 17:50:50 2015/11/25
Set clock successfully.
Clock will be reset to 2013/01/01 00:00:00 after system rebooting because there
is no realtime clock chip.
OLT4840E#show clock
Wed 2015/11/25 17:51:03 CCT 08:00
Exemplo de configuração de cliente SNTP
»» Requisitos de rede:
O OLT atua como o cliente SNTP para sincronizar o tempo do servidor.
Verifique se o OLT se comunica corretamente com o servidor SNTP.
SNTP-Client
2
SNTP Server
OLT
»» Passos de configuração:
»» OLT executa os modos Broadcast, Multicast, Unicast e Anycast, respectivamente.
»» Configuração do modo de autenticação e modo Broadcast.
»» Habilite o cliente SNTP e o configure no modo Broadcast (está ativado por
padrão).
OLT4840E(config)#sntp client mode broadcast
»» Configure o servidor confiável:
OLT4840E(config)#sntp client valid-server 192.168.1.99 0.0.0.0
OLT4840E(config)#sntp client
431
»» Configure a chave de autenticação (verifique se a configuração é consisten-
te com a do servidor):
OLT4840E(config)#sntp client authentication-key 1 md5 test
»» Configure o ID da chave confiável:
OLT4840E(config)#sntp trusted-key 1
»» Ativa a função de autenticação:
OLT4840E(config)#sntp client authenticate
»» Exiba o resultado da sincronização do tempo:
OLT4840E(config)#show sntp client
Clock state : synchronized Current mode : broadcast
Use server : 192.168.1.99 State : idle
Server state : synchronized Server stratum : 1
Authenticate : enable Bcast delay : 3ms
Last synchronized time: THU NOV 26 06:07:44 2015
Summer-time is not set.
Valid server list:
Server address:192.168.1.99 wildcard:0.0.0.0
»» Modo de multicast e configuração de autenticação.
»» Habilite o cliente sntp e configure-o como o modo Multicast.
OLT4840E(config)#sntp client mode multicast
»» Configure a liste de servidores confiáveis.
OLT4840E(config)#sntp client valid-server 192.168.1.99 0.0.0.0
OLT4840E(config)#sntp client
»» Configure a chave de autenticação (verifique se a configuração é consisten-
te com a do servidor)
OLT4840E(config)#sntp client authentication-key 1 md5 test
»» Configure o ID da chave confiável.
OLT4840E(config)#sntp trusted-key 1
»» Ativa a função de autenticação.
OLT4840E(config)#sntp client authenticate
432
»» Exiba o resultado da sincronização de horário do OLT.
OLT4840E(config)#show sntp client
Clock state : synchronized Current mode : multicast
Use server : 192.168.1.99 State : idle
Server state : synchronized Server stratum : 1
Authenticate : enable Bcast delay : 3ms
Last synchronized time: THU NOV 26 06:20:59 2015
Summer-time is not set.
Valid server list:
Server address:192.168.1.99 wildcard:0.0.0.0
»» Configure o modo de autenticação e o modo Unicast.
»» Ative o cliente sntp e configure-o como unicast.
OLT4840E(config)#sntp client
OLT4840E(config)#sntp client mode unicast
»» Configure o servidor SNTP.
OLT4840E(config)#sntp server 192.168.1.99
»» Configure a chave de autenticação (verifique se a configuração é consisten-
te com a do servidor).
OLT4840E(config)#sntp client authentication-key 1 md5 test
»» Configure a ID da senha para o servidor.
OLT4840E(config)#sntp server key 1
»» Ativa a função de autenticação.
OLT4840E(config)#sntp client authenticate
»» Exiba o resultado da sincronização do tempo.
OLT4840E(config)#show sntp client
Clock state : synchronized Current mode : unicast
Use server : 192.168.1.99 State : idle
Server state : synchronized Server stratum : 1
Retrans-times: 3 Retrans-interval: 30s
Authenticate : disable PrimaryServer: 192.168.1.99
Backup Server: 0.0.0.0 Poll interval : 1000s
433
Last synchronized time: THU NOV 26 09:05:29 2015
Last received packet’s originateTime: TUE JAN 01 00:00:24 2013
Summer-time is not set.
»» Configure o modo de autenticação e o modo Anycast.
»» Ative o cliente SNTP e configure-o para funcionar no modo Anycast.
OLT4840E(config)#sntp client mode anycast
»» Configure o servidor SNTP.
OLT4840E(config)#sntp server 192.168.1.99
OLT4840E(config)#sntp client
»» Configure a chave de autenticação (verifique se a configuração é consisten-
te com a do servidor).
OLT4840E(config)#sntp client authentication-key 1 md5 test
»» Configure o modo Anycast e a identificação da chave (se a autenticação não
for necessária, você não configura).
OLT4840E(config)# sntp client mode anycast key 1
»» Ative a função de autenticação.
OLT4840E(config)#sntp client authenticate
»» Exiba o resultado da sincronização do tempo.
OLT4840E(config)#show sntp client
Clock state : synchronized Current mode : anycast
Use server : 192.168.1.99 State : idle
Server state : synchronized Server stratum : 1
Retrans-times: 3 Retrans-interval: 30s
Authenticate : enable Authentication-key: 1
Poll interval : 1000s
Last synchronized time: THU NOV 26 09:22:25 2015
Last received packet’s originateTime: THU NOV 26 17:22:24 2015
Summer-time is not set.
434
29. PPPoE Plus
29.1. Visão geral de PPPoE Plus
O protocolo ponto a ponto sobre Ethernet (PPPoE) é um protocolo de tunelamento
de rede que encapsula o protocolo ponto a ponto (PPP) em uma moldura Ethernet.
Como o PPP está integrado no protocolo, ele pode implementar as funções de au-
tenticação, criptografia e compressão que não podem ser fornecidas pela Ethernet
tradicional. Também pode ser usado para arquitetura de protocolo que fornece ser-
viços de acesso para usuários por protocolo Ethernet, como DSL e assim por diante.
A função PPPoE Plus significa que a informação física do lado do usuário (a porta
conectada, a VLAN onde reside, o endereço MAC do OLT local e assim por diante)
é adicionada ao campo Sub-tag no pacote de protocolo PPPoE pelo OLT diretamen-
te conectado ao usuário final. Desta forma, o servidor de autenticação pode ler as
informações para saber a localização do usuário na rede para gerenciar, manter e
atender usuários. Observe que esta função requer um servidor que suporte PPPoE
Plus para funcionar.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface {ethernet | pon} port-number -
configuração de porta
Obrigatório,
Habilitar/desabilitar o PPPoE por padrão
[no] pppoeplus
Plus está
desativado
435
Obrigatório/
Operação Comando
opcional
Obrigatório,
Configuração da porta de a porta não é
[no] pppoeplus trust
uplink para porta confiável confiável por
padrão
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface {ethernet | pon} port-number -
configuração de porta
Opcional,
o comando
Configuração de estratégia de [no] pppoeplus strategy { drop | keep no restaura
processamento de opção | replace} a estratégia
padrão de
substituir
Visualização de informações de show pppoeplus interface {ethernet |
Opcional
configuração pon} port-number
436
»» Configuração do descarte de pacotes padi/pado:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface {ethernet | pon} port-number -
configuração de porta
Opcional, por
Configuração do descarte de
[no] pppoeplus drop {padi | pado} padrão está
pacotes padi/pado
desativado
Visualização de informações de show pppoeplus interface {ethernet |
Opcional
configuração pon} port-number
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
437
Obrigatório/
Operação Comando
opcional
[no]pppoeplus type { huawei | standard
| self-defined { circuit-id { [circuit-string] [ Opcional, o
vlan ] [ port ] [ switch-mac ] [ hostname ] comando no
Configuração do tipo de pacote
[client-mac ] } | remote-id { [remote-string] recupera o
[ switch-mac ] [ hostname] [ client-mac tipo padrão
] } }}
Opcional, o
comando no
Configuração de formato [no]pppoeplus format { binary | ascii }
recupera o
tipo binário
Opcional,
o comando
[no]pppoeplus delimiter { colon | dot |
Configuração de delimitação no recupera
slash | space }
o padrão:
espaço
Acesse o modo de
interface {ethernet | pon} port-number -
configuração de porta
Configuração do circuit-id [no] pppoeplus circuit-id circuit-string Opcional
Visualização de informações de show pppoeplus interface {ethernet |
Opcional
configuração pon} port-number
438
Servidor PPPoE
OLT
PPPoE +
»» Passos de configuração:
»» Ative a função PPPoE Plus na porta conectada ao PC cliente
OLT4840E(config)#interface ethernet 0/1
OLT4840E(config-if-ethernet-0/1)#pppoeplus
»» A porta conectada ao servidor está configurada como uma porta confiável
PPPoE Plus:
OLT4840E(config-if-ethernet-0/1)#interface ethernet 0/3
OLT4840E(config-if-ethernet-0/3)#pppoeplus trust
»» Configure o tipo autodefinido e configure o circuit-id e o remote-id:
OLT4840E(config-if-ethernet-0/3)#exit
OLT4840E(config)#pppoeplus type self-defined circuit-id test
OLT4840E(config)#pppoeplus type self-defined remote-id hostname client-mac
switch-mac
OLT4840E(config)#pppoeplus format ascii
»» Validação de resultados:
»» PC obteve sucesso na discagem PPPoE.
»» Os campos circuit-id e remote-id do pacote de confiança e os pacotes padi
espelhados são consistentes com a configuração:
439
30. Download e upload de arquivos
A transferência de arquivos pode ser feita via Xmodem, FTP|TFTP.
Para transferir um arquivo via Xmodem é necessário apenas a configuração da co-
municação serial como mostrado na sessão 1.2. Login no OLT, a transferência irá
acontecer diretamente pela porta CONSOLE da OLT. Já para realizar a transferência
via FTP|TFTP é necessário ter acesso a um servidor remoto.
Para ter acesso a um dispositivo remoto o mesmo deve estar conectado a uma das por-
tas Gigabit Ethernet da OLT e ambos devem ser alcançáveis logicamente numa rede IP.
Os tipos de arquivos utilizáveis pela OLT são arquivos de atualização (arquivo de host,
arquivo bootrom), arquivos de configuração e o arquivo de chave SSH.
A extensão do arquivo de host deve ser .arj; a extensão do arquivo bootrom deve ser
.bin; a extensão do arquivo de configuração deve ser .txt; a extensão do arquivo de
chave SSH deve ser .txt.
30.1. Download de arquivos
Quando um arquivo externo é baixado para o OLT, ele é salvo na memória flash e não
entra em vigor imediatamente, para isso você precisa executar os comandos de con-
figuração relacionados. Depois de atualizar o host e o bootrom, você precisa reiniciar
o OLT, quando você baixar o arquivo de configuração, ele irá substituir o arquivo ori-
ginal na flash. Você precisa usá-lo no modo Privilegiado: copy startup-config running-
config. Consulte o manual do usuário do módulo SSH para obter o uso da chave.
440
Exemplo de atualização via TFTP
Neste exemplo o servidor TFTP utilizado possui o endereço IP 192.168.1.99. O ar-
quivo de host a ser baixado possui o nome host.arj, o arquivo do bootrom é o boo-
trom_rom.bin e de configuração é o config_padrao.txt.
»» Requisitos de rede:
O OLT se conecta ao servidor de arquivos para garantir uma comunicação adequada.
»» Passos de configuração:
»» Verifique se o OLT e o servidor de arquivos estão comunicando corretamente:
OLT4840E#ping 192.168.1.99
PING 192.168.1.99: with 32 bytes of data:
reply from 192.168.1.99: bytes=32 time<10ms TTL=64
reply from 192.168.1.99: bytes=32 time<10ms TTL=64
reply from 192.168.1.99: bytes=32 time<10ms TTL=64
reply from 192.168.1.99: bytes=32 time<10ms TTL=64
----192.168.1.99 PING Statistics----
4 packets transmitted, 4 packets received, 0% packet loss
round-trip (ms) min/avg/max = 0/0/0
Control-C
»» Atualize o arquivo de host:
OLT4840E#load application tftp 192.168.1.99 host.arj
Downloading application via TFTP...
Download application via TFTP successfully.
EPON(onu-0/1/1)#onu-bandwidth unknown-ucast downstream 300000
»» Atualize o arquivo de bootrom:
OLT4840E#load whole-bootrom tftp 192.168.1.99 bootrom_rom.bin
»» Reinicie o dispositivo
OLT4840E#reboot
»» Faça o dowload dos arquivos de configuração:
OLT4840E#load configuration tftp inet 192.168.1.99 config_padrao.txt
Startup config will be updated, are you sure(y/n)? [n]y
Downloading config file via TFTP...
Download config file via TFTP successfully.
441
»» Utilize o arquivo de configuração baixado:
OLT4840E#copy startup-config running-config
Running config will be updated, are you sure(y/n)? [n]y
Start to load startup-config, please wait for a while ...
Load successfully
30.2. Upload de arquivos
O upload de arquivos refere-se ao carregamento de arquivos da memória flash do
OLT para servidores de arquivos externos.
Recomenda-se que o nome do arquivo carregado tenha a mesma extensão que do
arquivo original.
Exemplo de backup de configuração via TFTP
Neste exemplo o servidor TFTP utilizado possui o endereço IP 192.168.1.99. O ar-
quivo de host a ser enviado possui o nome host.arj, o arquivo do bootrom é o boo-
trom_rom.bin e de configuração é o config_padrao.txt.
»» Requisitos de rede:
O OLT se conecta ao servidor de arquivos para garantir uma comunicação adequada.
»» Passo de configuração:
»» Verifique se o OLT e o servidor de arquivos estão comunicando corretamente:
OLT4840E#ping 192.168.1.99
PING 192.168.1.99: with 32 bytes of data:
reply from 192.168.1.99: bytes=32 time<10ms TTL=64
reply from 192.168.1.99: bytes=32 time<10ms TTL=64
reply from 192.168.1.99: bytes=32 time<10ms TTL=64
reply from 192.168.1.99: bytes=32 time<10ms TTL=64
----192.168.1.99 PING Statistics----
4 packets transmitted, 4 packets received, 0% packet loss
round-trip (ms) min/avg/max = 0/0/0
Control-C
»» Faça o upload do arquivo de host:
OLT4840E#upload application tftp 192.168.1.99 host.arj
Uploading APP file via TFTP...
442 Upload APP file via TFTP successfully.
»» Salve a configuração atual na memória flash:
OLT4840E#copy running-config startup-config
Startup config in flash will be updated, are you sure(y/n)? [n]y
Building, please wait...
Update startup config successfully.
»» Faça o upload do arquivo de configuração em um servidor externo:
OLT4840E#upload configuration tftp inet 192.168.1.99 config_padrao.txt
Uploading config file via TFTP...
Upload config file via TFTP successfully.
»» Faça o upload dos arquivos atuais da memória flash para o servidor de ar-
quivos:
OLT4840E#upload logging tftp 192.168.1.99 logg.txt
Uploading syslog file via TFTP...
Upload syslog file via TFTP successfully
443
31. Configuração de decompilação
31.1. Visão geral da configuração de decompilação
A configuração do dispositivo pode ser dividida em duas fontes: a primeira é chama-
da de configuração padrão, que não requer configuração do usuário. Depois que o
OLT é ligado pela primeira vez, ou após a configuração de inicialização ser restaura-
da, as configurações existentes, como o usuário admin, garantem que o OLT satisfaça
o ambiente de uso simples. A segunda configuração são as feitas pelo usuário, como
criar a VLAN 2, modificando PVID = 2.
A configuração do dispositivo pode ser dividida em três tipos: o primeiro é cha-
mado de configuração de cache temporário ou a configuração de execução atual,
como a criação da VLAN 2. Essa configuração não existe após o reinicilaização
do OLT. A segunda configuração é chamada de configuração de inicialização, que
pode ser carregada (automaticamente ou manualmente) depois que o OLT for
reiniciado. A primeira configuração pode ser salva na configuração de inicializa-
ção. A terceira configuração é salva no flash. Na configuração, um pequeno nú-
mero de configurações particularmente importantes serão salvos diretamente no
flash: como configuração de empilhamento, configuração de nome de usuário;
a configuração de empilhamento não entrará na decompilação, ou seja, show run-
ning não será exibido, ele só pode ser exibido pelo comando “show” no módulo. A
configuração do nome de usuário entrará na decompilação, ou seja, show running o
exibirá, também pode ser exibido pelo comando “show” no módulo. A configuração
no Flash é permanente e não precisa ser salva com comandos. Se você deseja excluir
a configuração do flash, você pode excluí-lo somente através do comando [no] cor-
respondente no módulo.
444
31.2. Comandos básicos de decompilação
Obrigatório/
Operação Comando
opcional
Visualização a decompilação
show running-config [module| interface
do atual arquivo de Obrigatório
{ethernet | pon} port-number ]
configuração
Visualização da configuração
show startup-config [module] Obrigatório
de inicialização
Salvar a configuração atual
para a configuração de copy running-config startup-config Obrigatório
inicialização
durante o processo de reinício, o
Carregar o arquivo de padrão é carregar a configuração
inicialização na reinicialização automaticamente após 6s. Pressione Obrigatório
do sistema “enter” de acordo com a mensagem do
prompt para carregar imediatamente
Não carregar o arquivo de durante o processo de reinício,
inicialização na reinicialização pressione “ctrl + c” de acordo com a Opcional
do sistema mensagem do prompt
Carregar o arquivo de
configuração de boot em linha copy startup-config running-config Obrigatório
de comando
Restaurar configurações de
clear startup-config Obrigatório
fábrica
Obs.: o comando clear startup-config não faz o reset da senha do usuário admin.
Para isso, deve ser realizado o procedimento descrito na sessão 2.8. Restauração do
usuário admin deste manual.
Para apagar um usuário criado no OLT verifique a sessão 2.1. Visão geral das funções
de gerenciamento de funções.
445
31.3. Configuração do modo de execução
Você pode alterar o modo de execução do arquivo de configuração atra-
vés da interface de linha de comando. O arquivo de configuração salvo no
sistema pode ser executado nos modos Interruptible e Non-interruptible.
Quando um erro é encontrado durante a execução do arquivo de configuração, a
execução no modo Interruptible pára imediatamente e faz notificação do erro. No
modo Non-interruptible, a execução não é interrompida, o erro é repetido e o arquivo
de configuração continua a ser executado.
O padrão é o modo Non-interruptible.
»» Configuração do modo de alteração do arquivo de execução:
Obrigatório/
Operação Comando
opcional
Opcional,
Definir o modo de execução executável
buildrun mode stop
como interruptible no modo
Privilegiado
Opcional,
Definir o modo de execução executável
buildrun mode continue
como non-interruptible no modo
Privilegiado
446
Exemplo de configuração de decompilação
»» Exemplo de configuração:
»» Visualize a configuração atual:
OLT4840E#show running-config
!LanSwitch BuildRun
enable
configure terminal
![DEVICE]
interface ethernet 0/1
exit
interface ethernet 0/2
exit
interface ethernet 0/3
exit
interface ethernet 0/4
exit
interface ethernet 0/5
exit
interface ethernet 0/6
exit
interface ethernet 0/7
400
exit
interface ethernet 0/8
exit
…………
»» Salve a configuração atual como configuração de inicialização:
OLT4840E#copy running-config startup-config
Startup config in flash will be updated, are you sure(y/n)? [n]y
Building, please wait...
Update startup config successfully.
447
»» Utilize a configuração de inicialização
OLT4840E#copy startup-config running-config
Running config will be updated, are you sure(y/n)? [n]y
Start to load startup-config, please wait for a while ...
Load successfully.
448
32.1. Configuração de alarme de utilização
»» Configuração de alarme de utilização de porta:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Habilitar/desabilitar o alarme
[no] alarm all-packets Obrigatório
em todas as portas
Acesse o modo de
interface {ethernet | pon} port-number -
configuração de porta
Habilitar/desabilitar o alarme
[no] alarm all-packets Obrigatório
na porta
alarm all-packets threshold exceed value
Configuração de limiar Opcional
normal value
Visualização de informações show alarm all-packetsinterface [
Opcional
de alarme ethernet port-number]
»» Configuração de alarme de utilização de CPU:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Habilitar/desabilitar o alarme
[no] alarm cpu Obrigatório
de CPU
alarm cpu thresholdexceed value normal
Configuração de limiar Opcional
value
Visualização de informações
show alarm cpu Opcional
de alarme
449
»» Etapas de configuração:
»» Configure a função de alarme da porta:
OLT4840E(config)#alarm all-packets
OLT4840E(config)#interface ethernet 0/2
OLT4840E(config-if-ethernet-0/2)#alarm all-packets
OLT4840E(config-if-ethernet-0/2)#alarm all-packets threshold exceed 50 normal 40
»» Configure o alarme de CPU:
OLT4840E(config)#alarm cpu
OLT4840E(config)#alarm cpu threshold busy 90 unbusy 85
»» Resultados de validação:
»» Habilite o registro de saída serial:
OLT4840E(config)# logging monitor 0
»» Quando a CPU atinge o limite configurado, as seguintes informações de alarme
são exibidas:
02:44:02: Switch: %OAM-5-CPU_BUSY: cpu is busy.
OLT4840E(config)#show alarm cpu
CPU status alarm : enable
CPU busy threshold(%) : 90
CPU unbusy threshold(%) : 85
CPU status : busy
»» Quando a utilização da CPU retornar ao normal, será exibido da seguinte maneira:
02:47:05: Switch: %OAM-5-CPU_UNBUSY: cpu is not busy.
OLT4840E(config)#show alarm cpu
CPU status alarm : enable
CPU busy threshold(%) : 90
CPU unbusy threshold(%) : 85
CPU status : unbusy
450
33. Alarme de e-mail
33.1. Visão geral de alarme de e-mail
O OLT envia o log do sistema por e-mail para o endereço especificado.
33.2. Configuração do alarme
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Habilitar/desabilitar o alarme
[no] mailalarm Obrigatório
via e-mail
Configuração do servidor smtp [no] mailalarm server ip-address Obrigatório
Configuração da indentidade mailalarm smtp authentication username
Obrigatório
smtp name passwd password
Configuração do e-mail [no]mailalarm sender sender@exemplo.
Obrigatório
remetente com.br
Configuração do e-mail [no]mailalarm receiver receiver@exemplo.
Obrigatório
destinatário com.br
[no]mailalarm ccaddr ccaddr@exemplo.
Configuração do e-mail cc Opcional
com.br
Configuração do nível de log
[no] mailalarm logging level value Opcional
do alarme
Visualização das configurações show mailalarm Opcional
Obs.: » O alarme de e-mail está desativado por padrão.
»» O nível de log padrão é 0 e, quando configurado para ‘n’, os logs do nível 0 até
‘n’ são enviados para o email especificado pelo mailalarm.
451
33.3. Exemplo de configuração do alarme de e-mail
»» Descrição da rede:
Deixe o OLT enviar registros de nível 0-3 para receive@126.com. O remetente é tes-
te/teste e caixa de correio é test@126.com, o servidor de email é 183.222.100.112.
»» Passos de configuração:
»» Configuração:
OLT4840E(config)#mailalarm
OLT4840E(config)#mailalarm server 183.222.100.112
OLT4840E(config)#mailalarm smtp authentication username test passwd test
OLT4840E(config)#mailalarm sender test@126.com
OLT4840E(config)#mailalarm receiver receive@126.com
OLT4840E(config)#mailalarm ccaddr cc@126.com
OLT4840E(config)#mailalarm logging level 3
»» Exiba as informações:
OLT4840E(config)#show mailalarm
mailalarm state : on
smtp authentication : on
smtp server address : 11.1.1.1
mailalarm logging level : 3
sender e-mail address : test@126.com
receiver e-mail address : receive@126.com
ccaddr : cc@126.com
452
34. Log do sistema
34.1. Visão geral do log de sistema
O Syslog é o centro das informações do sistema, para completar o processamento
unificado e a saída de informações.
Os outros módulos do sistema enviarão as informações de saída a ele. O Syslog de-
termina o formato de saída das informações de acordo com a configuração do usuá-
rio e as emite para o dispositivo de exibição, de acordo com as regras de swtiching e
filtragem de informações de cada saída configurada pelo usuário.
Com este sistema, você não precisa exportar informações para o console, terminal
Telnet ou servidor de log, basta enviá-las para o Syslog. Ao configurar as regras de
filtragem apropriadas, os consumidores de informações, que são console terminal,
Telnet, buffer de histórico, log host e agente SNMP, podem escolher o que eles que-
rem receber e descartar.
Obrigatório/
Operação Comando
opcional
Acessar o modo de
configure terminal -
configuração global
(des) Habilitar a função de log [no] logging Opcional
Visualizar informações de
show logging Opcional
configuração
Obrigatório/
Operação Comando
opcional
(des) Habilitar o número de
[no] loggin sequence-numbers Obrigatório
série do log
Obrigatório/
Operação Comando
opcional
Configuração do tipo de logging timestamps { notime | uptime |
Opcional
timestamp datetime }
Restaura a configuração
no logging timestamps Opcional
padrão do timestamp
Obs.: » Não existe uma opção de timestamp separada (ativar / desativar). Existem
três tipos de timestamp:
»» notime: não exibe a hora.
»» uptime: exibe o tempo de inicialização.
»» datetime: exibe a data e a hora.
»» O padrão é o uptime.
Saída do terminal
No modo Privilegiado, configure o log para a saída no terminal do OLT. No modo
Global, você pode configurar a exibição de informações e as regras de filtragem.
Por padrão, os registros do dispositivo não são enviados para o terminal, mas saem
para o buffer. Existe uma ligeira diferença entre o comando para o terminal serial e
o terminal Telnet ou SSH.
»» Saída para o terminal:
Obrigatório/
Operação Comando
opcional
Modo de configuração
end Obrigatório
privilegiado
454
Visualizar as regras dos filtros show logging filter monitormonitor-num Opcional
Obrigatório/
Operação Comando
opcional
Obs.: o padrão é saída de log para buffer. A regra padrão é exibir todos os módulos e
logs no nível 0-6. A exclusão da regra de filtragem restaura a regra padrão.
455
Saída para a flash
No modo Global, você pode configurar o Syslog para salvar na Flash, que não é salvo
na memória flash por padrão.
Obrigatório/
Operação Comando
opcional
Modo de configuração global configure terminal -
(Des)Habilitar a saída para
[no] logging flash Obrigatório
o flash
logging flash { level-value | none | level-
Configuração das regras dos
list { start-level to end-level | value } } [ Opcional
filtros
module module-name ]
Visualizar as regras dos filtros show logging filter flash Opcional
Remover regras dos filtros no logging flash filter Opcional
Visualizar as informações de
Show logging flash filter Opcional
log no buffer
Configuração do período de
[no] logging flash interval value Opcional
armazenamento
Configuração do tamanho do
[no] logg flash msg-number value Opcional
log para cada vez que é salvo
Obs.: » Quando o log é emitido para a flash, a regra padrão é enviar todos os
módulos e o nível do log é 0-5. A exclusão da regra de filtragem restaura
as regras padrão.
»» Quando log sai para flash, o ciclo padrão é 30M. Por padrão, 100 logs são
salvos ao mesmo tempo.
456
Saída para servidor externo
Configuração do endereço do servidor especificado para saída de log, troca de infor-
mações de saída, regra de filtragem e ferramenta de registro e endereço de origem
no modo Global.
Obrigatório/
Operação Comando
opcional
Modo de configuração global configure terminal -
Configuração de servidor
[no] logging ip-address Obrigatório
de log
(Des)Habilitar o servidor de log [no] logging host { all | ip-address } Obrigatório
logging host { all | ip-address }{ level-value
Configuração das regras dos
| none | level-list { start-level to end-level | Opcional
filtros
value } } [ module module-name ]
Restaurar as regras dos filtros no logging host { all | ip-address } filter Opcional
[no] logging facility { clock1 |
clock2 | ftp | kernel | Optional
lineprinter | localuse0 | localuse1 |
localuse2 | localuse3 | localuse4 |
Configuração do nome da
localuse5 | localuse6 | localuse6 | Opcional
ferramenta de log
localuse7 | logalert | logaudit | mail
| networkknews | ntp | security1 |
security2 | syslogd | system | userlevel
| uucp }
Configuração do sip para os [no] logging source { ip-address |
Opcional
pacotes de log loopback-interface if-id }
Obs.: » O sip de mensagens de log deve ser a interface dispositivo. O dispositivo
usa o endereço IP da interface correspondente do servidor de log por
padrão.
»» O nome da ferramenta de log padrão usa localeuse7.
Saída para o agente SNMP
Configure a saída Syslog para o agente SNMP no modo Global. Para enviar mensagens
de Syslog para estação de trabalho SNMP em mensagens de trap, você também deve
configurar o endereço do host trap. Consulte as instruções de configuração SNMP.
Por padrão, esta função não está habilitada.
»» Saída do Syslog para o agente SNMP:
457
Obrigatório/
Operação Comando
opcional
(Des)Habilitar a saída para o
[no] loggin snmp-agent Obrigatório
terminal
Visualização do estado do log
[no] logging monitor { all | monitor-num } Opcional
(habilitado / desabilitado)
logging snmp-agent { level-value | none |
Configuração das regras dos
level-list { start-level to end-level | value } } Opcional
filtros
[ module module-name ]
Visualizar as regras dos filtros show logging filter snmp-agent Opcional
Remover regras dos filtros no logging snmp-agent filter Opcional
Saída de log para o agente snmp, a regra padrão: saída de todos os módulos, o nível
de log é 0-5.
Depuração
No modo Global, você pode configurar a função de depuração para imprimir as in-
formações de depuração do módulo correspondente. Por padrão, as informações de
depuração de todos os módulos estão desabilitadas.
»» Configuração da depuração (debug):
Obrigatório/
Operação Comando
opcional
(Des)Habilitar função de debug [no] debug { all | module-name } Obrigatório
Visualização as informações de
show debug Opcional
configuração
458
»» Passos de configuração:
»» Habilite a função de saída para o terminal:
OLT4840E#terminal monitor
OLT4840E#configure terminal
»» Habilite a função de log:
OLT4840E(config)#logging
»» Habilite a visualização do terminal:
OLT4840E(config)#logging monitor all
»» Saída dos logs do módulo STP e do módulo do dispositivo nos níveis 0-4 para
o terminal de console:
OLT4840E(config)#logging monitor all level-list 0 to 4 module stp device
»» Habilite a visualização do número serial:
OLT4840E(config)#logging sequence-numbers
»» Configure o timestamp como datetime:
OLT4840E(config)#logging timestamps datetime
»» Habilite a saída do log para a flash:
OLT4840E(config)#logging flash
»» Configure a regra de filtragem do registro de buffer:
OLT4840E(config)#logging buffered level-list 3 4
»» Configure servidor de log:
OLT4840E(config)#logging 192.168.1.3
»» Habilitar o servidor de log:
OLT4840E(config)#logging host 192.168.1.3
»» Configure o FTP:
OLT4840E(config)#logging facility ftp
»» Habilite a função de depuração do módulo ARP:
OLT4840E(config)#debug ARP
»» Ver as informações de configuração:
OLT4840E(config)#show logging
state: on;
logging sequence-numbers: on;
logging timestamps: datetime;
logging language: english 459
logging monitor:
Console: state: on; display: off; 96 logged; 0 lost; 0 overflow.
Logging buffered: state: on; 249 logged; 0 lost; 0 overflow.
Logging flash: state: on; 37 logged; 0 lost; 0 overflow.
Logging loghost:
logging facility: ftp;logging source: off
192.168.1.3: state: on; 23 logged; 0 lost; 0 overflow.
Logging SNMP Agent: state: off; 0 logged; 0 lost; 0 overflow.
35. Manutenção do sistema
35.1. Visualização do status do sistema
Esta seção descreve alguns dos dos comandos show para o sistema.
Obrigatório/
Operação Comando
opcional
Visualização da versão do
show version Opcional
sistema
Visualização das informações
show system Opcional
do sistema
Visualização das informações
show memory Opcional
de memória
Visualização da utilização
show cpu-utilization Opcional
de CPU
Opcional, de
Visualização das estatísticas de show cpu-statistics {ethernet | pon} acordo com a
pacotes da CPU port-number estatística da
porta
Visualização das estatísticas de show cpu-classification interface
Opcional
tipos de pacotes da CPU {ethernet | pon} port-number
460
Obrigatório/
Operação Comando
opcional
Visualização das informações
do administrador que logaram show users Opcional
ao sistema
Visualização do relógio do
show clock Opcional
sistema
Visualização de todas as
show ip fdb Opcional
tabelas fdb
Visualização da tabela fdb
show ip fdb ip Opcional
especificada por IP
Visualização das tabelas fdb
especificadas por segmento de show ip fdb ipmask Opcional
endereço
Obs.: a tabela Fdb é uma tabela ARP que é emitida para o switch de três níveis, que
é a tabela ARP de hardware.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
enable -
configuração privilegiado
Acesse o modo de
configure terminal -
configuração global
Configure o prompt da
interface da linha de comando hostname host-name Opcional
do sistema
Cancele o prompt da interface
da linha de comando do no hostname Opcional
sistema
461
35.3. Configuração do relógio do sistema
O dispositivo possui um relógio que pode ser calibrado por comandos. Defina o re-
lógio do sistema utilizando o comando de ajuste do relógio no modo de usuário
privilegiado.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
enable -
configuração privilegiado
Configure o relógio clock set HH:MM:SSYYYY/MM/DD Obrigatório
Acesse o modo de
configure terminal -
configuração global
Configure o fuso horario clock timezone name hour minute Opcional
Visualização do relógio do
show clock Opcional
dispositivo
»» Exemplo de configuração:
»» Configure o relógio do dispositivo:
OLT4840E#clock set 13:12:33 2014/08/10
Set clock successfully.
»» Configure o fuso horário como o de Brasilia:
OLT4840E(config)#clock timezone Brasilia -3
Set timezone successfully.
»» Exiba o relógio do dispositivo:
OLT4840E(config)#show clock
Sun 2014/08/10 13:19:15 Brasilia 03:00
462
35.4. Comando de teste de rede
O ping é usado para verificar se a conexão de rede e o host são acessíveis. Operar
as seguintes configurações em modo de usuário privilegiado ou modo de usuário
normal.
»» Comando de ping para teste:
Obrigatório/
Operação Comando
opcional
463
35.5. Comando de rastreamento de rota
Tracert é usado principalmente para rastreamento de rotas e verificação de cone-
xões de rede. Operar as seguintes configurações em modo de usuário privilegiado ou
modo de usuário normal.
»» Comando de rastreamento de rota:
Obrigatório/
Operação Comando
opcional
tracert { -u | -c } { -p udpport | -f
Execute o rastreio de rota IPv4 first_ttl | -h maximum_hops | -w time_out } Opcional
target_name
Execute o rastreio de rota tracert6 { -c |-h maximum_hops| -w time_
Opcional
IPv46 out }ipv6_host_address
Descrição de parâmetros
»» -u: envio de pacotes.
»» -c: envio de pacotes icmp echo (padrão).
»» udpport: endereço da porta de destino para enviar pacotes udp. Ele varia de 1 a
65535, a porta padrão é 62929.
»» first_ttl: valor inicial TTL dos pacotes enviados, no intervalo de 1 a 255. O padrão é 1.
»» maximum_hops: valor máximo TTL dos pacotes enviados, no intervalo de 1 a
255. O padrão é 30.
»» Time_out: o tempo limite de timout após o envio do pacote, no intervalo de 10
a 60, em segundos. O valor padrão é 10 segundos.
»» target_name: endereço de host ou roteador de destino.
35.6. Banner
Depois de configurar o banner, as informações do fabricante aparecerão quando o
dispositivo estiver conectado.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Habilite o banner banner Opcional
Desabilite o banner no banner Opcional
Personalize a primeira linha
banner line1 string Opcional
do banner
464
Obrigatório/
Operação Comando
opcional
Personalize a segunda linha
banner line2 string Opcional
do banner
Personalize a terceira linha
banner line3 string Opcional
do banner
Personalize a quarta linha do
banner line4 string Opcional
banner
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configure as informações que
screen-rows per-page inter Opcional
serão exibidas
Obrigatório/
Operação Comando
opcional
Opcional,
executar o
Reinicie o OLT imediatamente reboot comando
no modo
Privilegiado
Opcional,
auto-reboot { in { minutes min | hours hour}
executar o
Reiniciar o OLT periodicamente | at{ YYYY/MM/DD hh:mm:ss |
comando no
hh:mm:ss daily | hh:mm:ss weekday weekly } }
modo Global
Cancelar o reinício periodico no auto-reboot Opcional
Visualização do tempo para
show auto-reboot Opcional
reinício
36. Configuração de sFlow
36.1. Introdução ao sFlow
sFlow é uma tecnologia de monitoramento de tráfego de rede baseada na amos-
tragem de pacotes, que é usada principalmente para análise estatística do tráfego
de rede.
Conforme exibido na figura, o sistema sFlow consiste no agente incorporado no
dispositivo e no coletor remoto. O agente sFlow obtém as estatísticas e informações
de pacotes da interface através do mecanismo de amostragem, então encapsula a
informação em pacotes sFlow. Quando o buffer de pacote sFlow está cheio ou o
tempo de envio de pacote sFlow (o intervalo de tempo é fixo para 1 segundo) expira,
o pacote é encapsulado no pacote UDP e enviado ao coletor especificado. O coletor
sFlow analisa o pacote e exibe o resultado da análise. Um colector sFlow pode mo-
nitorar vários agentes.
O sFlow utiliza os dois mecanismos de amostragem a seguir:
»» Amostragem de fluxo: a amostragem de fluxo baseada em pacotes é usada
para obter informações sobre o conteúdo do pacote.
»» Amostragem de contadores: a amostragem de estatísticas da interface basea-
da em tempo é usada para obter as estatísticas da interface.
467
sFlow agent
Flow
OLT
Coletor sFlow
36.2. Configuração de sFlow
Configuração do IP do agente sFlow
O endereço IP do agente sFlow é o endereço IP de origem que o OLT se comunica
com o coletor remoto. O endereço IP deve ser o endereço do próprio OLT. Você pode
configurar apenas um endereço IP para o agente sFlow no dispositivo. O IP recém-
configurado substitui a configuração existente.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Configuração do IP do agente
sflow agent ipA.B.C.D Obrigatório
sFlow
Remover o IP do agente sFlow no sflow agent ip Opcional
Por exemplo:
»» Configure o endereço IP do agente do sFlow para 1.1.1.1.
OLT4840E(config)#sflow agent ip 1.1.1.1
468
Configuração do coletor sFlow
O coletor sFlow é usado para monitorar o tráfego do dispositivo. O OLT deve ser
configurado com o IP e o número da porta do coletor sFlow.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de porta interface ethernet interface-num -
Configure a taxa de
amostragem do pacote de sflow sampling-rate rate Obrigatório
Fluxo
Remover a amostragem do
no sflow sampling-rate Opcional
pacote de Fluxo
Por exemplo:
»» Configure a taxa de amostragem do fluxo da porta 2 para ser em 3000 pacotes:
OLT4840E(config-if-ethernet-0/2)#sflow sampling-rate 3000 469
Configuração do max-reader do sFlow
Esse comando é usado para configurar o número máximo de bytes que podem ser
copiados do cabeçalho do pacote original quando a amostragem Flow copiar o con-
teúdo do pacote. Por padrão, o número máximo de bytes que podem ser copiados
é de 128 bytes.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de porta interface ethernet interface-num -
Configuração do comprimento
da cópia de conteúdo dos sflow flow max-header length Obrigatório
pacotes Fluxo
Restaurar o padrão no sflow flowmax-header Opcional
470
Configuração do intervalo de contagem do sFlow
O OLT também pode ser amostrado em intervalos regulares.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de porta interface ethernet interface-num -
Configuração do contador de
sflow counter interval time Obrigatório
intervalo de amostragem
Restaurar o padrão no sflow counter interval Opcional
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de porta interface ethernet interface-num -
Configuração do número do
sflow counter collector id Obrigatório
contador de amostragem
Remover o número do
no sflow counter collector Opcional
contador de amostragem
Por exemplo:
»» Defina o número do coletor da amostragem do contador de portas para 1:
OLT4840E(config-if-ethernet-0/2)#sflow counter collector 1
O comando para visualização do sFlow
Este comando é usado para exibir a configuração do sFlow.
Obrigatório/
Operação Comando
opcional
Em qualquer modo show sflow Opcional
471
36.3. Exemplo
IP do dispositivo = 192.168.2.1; PC como cletor sFlow, IP =192.168.2.100
sFlow agent
Flow
OLT
Coletor sFlow
»» Configure o IP do dispositivo:
OLT4840E(config)#interface vlan-interface 2
Create vlan-interface successfully!
OLT4840E(config-if-vlanInterface-2)#ip address 192.168.2.1 255.255.255.0
This ipaddress will be the primary ipaddress of this interface.
Config ipaddress successfully
»» Definir o IP do agente sFlow:
OLT4840E(config)#sflow agent ip 192.168.2.1
»» Configure IP do sFlow collector
OLT4840E(config)#sflow collector 1 ip 192.168.2.100 port 6000
Configuração da porta
OLT4840E(config-if-ethernet-0/3)#sflow counter collector 1
37. Configuração de CFM
37.1. Introdução ao CFM
O CFM (Connectivity Fault Management Protocol), definido pelo padrão IEEE
802.1ag, é um mecanismo OAM de lado a lado baseado em VLAN no link Layer 2
para gerenciamento de falhas na Ethernet.
472
Conceito de CFM
Conceito Descrição
O domínio de manutenção indica a rede coberta pela detecção de falha
de conectividade, cujos limites são definidos por uma série de pontos
finais de manutenção configurados na porta. O domínio de manutenção
é identificado pelo nome do domínio. De acordo com o planejamento
da rede, o domínio de manutenção pode ser classificado em oito níveis.
Domínio de manutenção Diferentes domínios de manutenção podem ser adjacentes uns aos
outros ou alinhados, mas não podem ser cruzados. O assentamento
só pode ser realizado no domínio de manutenção de alto nível para
domínio de manutenção de baixo nível. Ou seja, um domínio de
manutenção de baixo nível deve ser incluído em um domínio de alto
nível.
Você pode configurar múltiplas associações de manutenção, conforme
exigido no domínio. Cada associação de manutenção é uma coleção
de pontos no domínio. A associação de manutenção é identificada pelo
Associação de “Nome de Domínio + Nome da Associação”.
manutenção A associação de manutenção serve uma VLAN. Os pacotes enviados
pelo ponto de manutenção na associação são marcados com a VLAN.
O ponto de manutenção na associação de pode receber os pacotes
enviados de outros pontos na associação.
O ponto de manutenção está configurado em uma porta e pertence a
uma associação. Podem ser classificado em dois tipos: pontos finais de
manutenção e pontos intermediários de manutenção.
Um ponto final é identificado por um ID MEP, que determina o
escopo e os limites do domínio. Os pontos finais são direcionais e são
classificados em UP MEP e DOWN MEP. A direção do ponto final indica
Ponto de manuntenção a localização do domínio de manutenção em relação à porta. O DOWN
MEP envia um pacote para a porta em que ele reside. Em vez de enviar
um pacote para a sua porta, o UP MEP envia um pacote para a outra
porta do dispositivo.
O ponto intermediário de manutenção está localizado dentro do
domínio, não pode enviar pacotes de protocolo CFM ativamente, mas
pode processar e responder a pacotes de protocolo CFM.
473
Funções principais do CFM
A aplicação eficaz da detecção de falhas de conectividade baseia-se na implantação
e configuração de rede razoável. Sua função é implementada entre os pontos de
manutenção configurados. As principais funções são as seguintes:
Função Descrição
É uma função OAM ativa usada para detectar a conectividade
entre os pontos finais da manutenção. A falha na conexão pode
Deteção de continuidade
ser causada por uma falha do dispositivo ou por um erro de
configuração.
É uma função OAM sob demanda usada para verificar o status da
Função de loopback
conexão entre o dispositivo local e o dispositivo remoto.
É uma função OAM sob demanda que determina o caminho entre
Função de rastreamento
o dispositivo local e o dispositivo remoto para localizar a falha
de links
do link.
Configuração do CFM
Antes de configurar a função CFM, faça o seguinte planejamento para a rede:
»» O domínio de manutenção de toda a rede é classificado para determinar os limites
dos domínios em cada nível.
»» Identifique os nomes dos vários domínios de manutenção. Os nomes do mesmo
domínio de são os mesmos em diferentes dispositivos.
»» Determine a associação de manutenção em cada domínio de acordo com a VLAN
a ser monitorada.
»» Determine o nome de cada associação de manutenção. A mesma associação de
no mesmo domínio de tem o mesmo nome em dispositivos diferentes.
»» Determine a lista de pontos finais de manutenção para a mesma associação no
mesmo domínio, que deve ser o mesmo em dispositivos diferentes.
»» Os pontos finais de manutenção podem ser planejados nas portas de fronteira do
domínio de e da associação. Os pontos intermediários de manutenção podem ser
planejados nos dispositivos ou portas não da borda.
Depois de concluir o planejamento da rede, execute a seguinte configuração.
474
37.2. Configuração de CFM
Configuração do MD
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Crie um domínio de
manutenção e acesse o modo
cfm md md-index Obrigatório
de configuração do domínio de
manutenção
475
Configuração da associação de manutenção
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
configuração do domínio de cfm ma ma-index -
manutenção
Crie uma associação de
manutenção e entre no modo
cfm md md-index Obrigatório
de configuração da associação
de manutenção
Excluir a configuração da
no cfm md md-index Opcional
associação de manutenção
476
Configuração do MEP
A função CFM é usada principalmente para várias operações nos pontos finais de
manutenção. Você pode configurar os pontos finais nas portas da borda da rede de
acordo com o planejamento da rede.
»» Configuração do MEP:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
configuração do domínio de cfm ma ma-index -
manutenção
Acesse o modo de
configuração da associação de cfm md md-index -
manutenção
cfm mep mep-id direction { up | down } [
Criar uma MEP e especificar a
primary-vlan vlan-id ] interfaceethernet Obrigatório
sua porta associada
port-id
Obrigatório,
Habilitar o estado de
cfm mep mep-id state enable por padrão
gerenciamento do MEP
está desligado
Fechar o estado de
cfm mep mep-id state disable -
gerenciamento do MEP
Configuração da prioridade Opcional,
que o MEP envia para CCM cfm mep mep-id priority priority-id por padrão a
e LTM prioridade é 0
477
Configuração do MEP remoto
O MEP remoto é relativo ao MEP local. Em toda a associação de manutenção, todos
os MEPs diferentes dos MEPs do local devem ser configurados como MEPs remotos
no local.
»» Configure o MEP remoto:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
configuração do domínio de cfm ma ma-index -
manutenção
Acesse o modo de
configuração da associação de cfm md md-index -
manutenção
Criar o MEP remoto e
cfm rmep rmep-id mep mep-id Obrigatório
especificar o MEP local relativo
Configuração do MIP
Os MIPs são usados para responder a vários pacotes de teste CFM. Você pode con-
figurar os MIPs em dispositivos ou portas que não sejam de borda com base no
planejamento de rede.
»» Configurar o MIP:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
configuração do domínio de cfm ma ma-index -
manutenção
Acesse o modo de
configuração da associação de cfm md md-index -
manutenção
Criar um ponto intermediário
de manutenção e especificar cfm mip mip-id interface ethernet port-id Opcional
sua porta associada
478
Configuração da função de verificação de continuidade
Ao configurar a função de verificação de continuidade, você pode habilitar os MEPs
para enviar pacotes CCM entre eles para detectar a conectividade entre esses MEPs
e assim gerenciar a conectividade do link.
»» Configuração da função de verificação de continuidade:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
configuração do domínio de cfm ma ma-index -
manutenção
Acesse o modo de
configuração da associação de cfm md md-index -
manutenção
Configuração do intervalo
Opcional, 1s
no qual CCMs são enviados cfm cc interval { 1 | 10 | 60 | 600 }
por padrão
pelo MEP
Obrigatório,
Habilitar a função de envio ccm
cfm mep mep-id cc enable por padrão,
no MEP
está desligado
Cancelar a função de envio
cfm mep mep-id cc disable Opcional
ccm no MEP
Obs.: o intervalo de tempo para o envio de CCMs deve ser o mesmo nos pontos
finais de manutenção no mesmo domínio e na associação em diferentes dispositivos.
Configuração da função de loopback
Ao configurar a função de loopback, você pode verificar o status do link entre os
MEPs de origem e de destino ou os MIPs para verificar a conectividade do link.
»» Configurar a função Loopback:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
configuração do domínio de cfm ma ma-index -
manutenção
479
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configuração da associação de cfm md md-index -
manutenção
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
configuração do domínio de cfm ma ma-index -
manutenção
480
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configuração da associação de cfm md md-index -
manutenção
38. Configuração de EFM
38.1. Introdução ao EFM
O EFM (Ethernet of First Mile), conhecido como Ethernet de primeira milha, é definido
pelo padrão IEEE 802.3ah para gerenciamento e manutenção de ligações Ethernet
ponto a ponto entre dois dispositivos.
Função principal do EFM
O EFM pode efetivamente melhorar o gerenciamento e a manutenção da capacida-
de Ethernet para garantir o funcionamento estável da rede, suas principais funções
incluem:
482
»» Função principal do EFM:
Função Descrição
483
Descrição:
A porta habilitada para EFM é chamada de entidade EFM.
Pacote de protocolo EFM
A EFM trabalha na camada de enlace de dados e seu pacote de protocolo é chamado
OAMPDU (OAM Protocol Data Units). A EFM relata o status do link periodicamente
trocando OAMPDUs entre dispositivos para que o administrador possa gerenciar a
rede de forma eficaz.
Tipo de pacote Efeito
Ele é usado para enviar as informações de status da entidade EFM
Informação OAMPDU (incluindo informações locais, informações remotas e informações
personalizadas) para a entidade remota para manter a conexão EFM.
Notificação de evento Geralmente, é usado para monitoramento de links e alarme de falhas
OAMPDU no link que liga as entidades EFM locais e remotas.
É usado principalmente para controle de loopback remoto. Ele é usado
para controlar o status de loopback EFM de um dispositivo remoto. Este
Controle de loopback
pacote contém informações sobre como ativar ou desativar a função de
OAMPDU
loopback. A função de loopback remoto é habilitada ou desativada com
base nessas informações.
Requisição/resposta de Ele é usado para obter o valor da variável MIB do dispositivo remoto
variável OAMPDU para monitorar o status remoto.
38.2. Configuração do EFM
Configuração básica de EFM
O EFM funciona no modo Ativo e no modo Passivo. Quando o EFM está habilitado, a
porta Ethernet começa a usar o modo de trabalho padrão para estabelecer conexões
EFM com suas portas opostas.
»» Configuração básica de EFM:
Obrigatório/
Operação Comando
opcional
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
484
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface ethernet interface-num Obrigatório
configuração de porta
Obrigatório,
por padrão
Iniciar o EFM efm
o EFM está
desativado
Fechar o EFM no efm Opcional
Opcional, por
Configuração do modo de padrão o EFM
efm mode { passive | active }
trabalho do EFM trabalha no
modo Ativo
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Apenas
Acesse o modo de
interface ethernet interface-num em portas
configuração de porta
ethernet
Opcional, o
Definir o intervalo de envio de
efm pdu-timeout time valor padrão é
pacotes de handshake
de 1s
485
Obrigatório/
Operação Comando
opcional
Opcional, o
Definir o tempo de timeout
efm link-timeout time valor padrão é
para as conexões EFM
de 5s
Opcional, o
Definir o tempo de resposta
efm remote-response-timeout time valor padrão é
de timeout
de 2s
Opcional,
Recuperar o tempo de resposta
no efm remote-response-timeout restaura o
de timeout
valor padrão
Obs.: após a conclusão da conexão EFM, a entidade EFM local envelhece a conexão
com a entidade EFM oposta e desativa a conexão EFM. Portanto, o tempo de espera
da conexão deve ser maior do que o intervalo de envio do pacote de handshake (reco-
mendado para ser 3 vezes ou mais). Caso contrário, a conexão EFM se tornará instável.
Configuração da função de detecção de falha remota
»» Configuração da função de detecção de falha remota:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Opcional, por
Habilitar a função de detecção efm remote-failure { link-fault | dying-
padrão está
de falha remota gasp | critical-event }
ativado
Desabilitar a função de no efm remote-failure { link-fault |
Opcional
detecção de falha remota dying-gasp | critical-event }
Descrição:
O período de detecção e o limite do evento de errored-symbol-period é um valor
inteiro de 64 bits. Os valores dos parâmetros após alta e baixa representam os 32 bits
superiores e os 32 bits inferiores deste valor, respectivamente, isto é, o valor inteiro
= (alto * (2 ^ 32)) + baixo.
487
Habilitar o loopback remoto
Por padrão, a função de loopback remoto está desabilitada. apenas em dispositivos
que oferecem suporte ao loopback remoto.
»» Habilitar o loopback remoto:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Habilitar a função de loopback
efm remote-loopback -
remoto
Desabilitar a função de
no efm remote-loopback -
loopback remoto
Obrigatório/
Operação Comando
opcional
Opcional,
por padrão
a solicitação
Rejeitar o loopback remoto efm remote-loopbackignore
de loopback
remoto é
negada
Processar o loopback remoto efm remote-loopbackprocess Opcional
488
Iniciar uma solicitação de loopback remoto
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Iniciar uma solicitação de
efm remote-loopback start stop Opcional
loopback remoto
Parar uma solicitação de
efm remote-loopback stop Opcional
loopback remoto
Descrição:
Somente quando a conexão EFM é estabelecida na porta e o modo de funcionamen-
to está no modo Ativo, a solicitação de loopback remoto pode ser iniciada na porta.
Somente as portas locais e remotas no link full-duplex suportam loopback remoto.
Quando o loopback remoto está ativado, todo o tráfego de dados será interrompido.
Quando a está desabilitada, as portas locais e remotas voltarão ao normal.
Os motivos para que a porta saia do loopback remoto incluem: use o comando no
EFM para desativar a função EFM. Use o comando EFM remote-loopback stop para
sair ou tempo limite de conexão EFM.
Habilitar a função de aquisição de variável de MIB remota
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Acesse o modo de
interface ethernet interface-num -
configuração de porta
Obter o valor da variável MIB show efm port port-id-list remote-mib {
Opcional
da porta do dispositivo remoto phyadminstate | autonegadminstate }
Obter o valor da variável MIB show efm remote-mib { fecability |
Opcional
global do dispositivo remoto fecmode }
489
Descrição:
Somente quando a conexão na porta é estabelecida, o modo de trabalho EFM está
ativo e a porta remota suporta a função de aquisição de variável MIB remota, neste
caso, a solicitação de aquisição pode ser iniciada na porta.
Atualmente somente a capacidade FEC, o modo FEC, o estado habilitado para a
porta e o estado ativo de auto-negociação de porta podem ser consultados. Outras
variáveis MIB podem ser complementadas de acordo com os requisitos.
Visualização e manutenção do EFM
Depois de completar a configuração acima, você pode usar o seguinte comando para
exibir a configuração do EFM.
Obrigatório/
Operação Comando
opcional
Visualizaçao do status de show efm status interface [ interface-
execução do protocolo EFM name ]
Visualização do resumo de Opcional,
show efm summary
informações do EFM executável
Visualização das informações show efm discovery interface [ interface- em todos os
de descoberta name ] modos
Exemplo de configuração
OLT4840E(config)#i e 0/2
OLT4840E(config-if-ethernet-0/2)#efm //Inicie EFM
OLT4840E(config-if-ethernet-0/2)#efm mode passive //Defina o modo de
trabalho do EFM como passivo
OLT4840E(config-if-ethernet-0/2)#efm pdu-timeout 1 //Defina o intervalo de
envio de pacote de handshake EFM para 1s
OLT4840E(config-if-ethernet-0/2)#efm link-timeout 5 //O período de timeout
de conexão é 5s
OLT4840E(config-if-ethernet-0/2)#efm remote-response-timeout 2 // O tempo de respos-
ta de timeout é 2s
490
OLT4840E(config-if-ethernet-0/2)#efm link-monitor errored-symbol-period // Habilitar a
função de monitoramento de link
OLT4840E(config-if-ethernet-0/2)#efm link-monitor errored-frame-period
OLT4840E(config-if-ethernet-0/2)#efm link-monitor errored-frame-seconds
OLT4840E(config-if-ethernet-0/2)#efm link-monitor errored-symbol-period window high
1 low 3
//Set the errored-symbol-period detection period to 1 to 3
OLT4840E(config-if-ethernet-0/2)#efm link-monitor errored-symbol-period threshold high
1 low 3
// The detection threshold is from 1 to 3
OLT4840E(config-if-ethernet-0/2)#efm link-monitor errored-frame window 20 // O
período de detecção de errored-frame é 20
OLT4840E(config-if-ethernet-0/2)#efm link-monitor errored-frame threshold 2 // O limitar
de detecção é 2
OLT4840E(config-if-ethernet-0/2)#efm link-monitor errored-frame-period window 2 // O
período de detecção de errored-frame-oeriod é 2
OLT4840E(config-if-ethernet-0/2)#efm link-monitor errored-frame-period threshold 2 // O
limitar de detecção é 2
OLT4840E(config-if-ethernet-0/2)#efm link-monitor errored-frame-seconds window 200
// Defina o intervalo de detecção de errored-frame-second para 200
OLT4840E(config-if-ethernet-0/2)#efm link-monitor errored-frame-seconds threshold 2
39. LLDP
39.1. Visão geral do LLDP
LLDP (Link Layer Discovery Protocol) é um protocolo de descoberta de camada 2
definido no IEEE 802.1AB. Através do uso da tecnologia LLDP, quando a escala da
rede é expandida rapidamente, o sistema de gerenciamento de rede pode entender
rapidamente as informações de topologia da rede Layer 2 e as informações de mu-
dança de topologia.
491
O princípio básico do LLDP é o seguinte: um dispositivo em uma rede envia uma
notificação de suas informações de status para seus dispositivos vizinhos e cada
porta de cada dispositivo armazena suas próprias informações. Se um dispositivo
local tiver uma mudança de estado, ele também pode enviar informações atuali-
zadas para o dispositivo vizinho diretamente conectado a ele. O dispositivo vizinho
armazena as informações na MIB SNMP padrão. O sistema de gerenciamento de
rede pode informar a situação de conexão da segunda camada atual da MIB SNMP.
Observe que LLDP é um protocolo remoto de descoberta de informações de estado
de dispositivo. Não pode executar as funções de configuração do dispositivo de rede
e controle de porta.
39.2. Configuração do LLDP
Habilitar/desabilitar o LLDP
Por padrão, o LLDP está desabilitado.
Obrigatório/
Operação Comando
opcional
Acesse o modo de
configure terminal -
configuração global
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface {ethernet | pon} port-num -
configuração de porta
Configuração do modo de
lldp [ rxtx | tx | rx ] Opcional
trabalho
Desabilitar a função no lldp Opcional
493
Configuração do endereço de gerenciamento
Por padrão, o dispositivo usa o endereço IP da interface PVID. Se não houver IP de
interface correspondente para o VLAN correspondente, o endereço de gerenciamento
TLV não é enviado no LLDPDU. Use o seguinte comando para modificar. A interface
de loopback atualmente não é suportada.
»» Configuração do endereço de gerenciamento:
Obrigatório/
Operação Comando
opcional
Acesse o modo de
interface {ethernet | pon} port-num -
configuração de porta
39.3. Exemplo de configuração
»» Requisitos de rede:
OLT1 e OLT2 são conectados diretamente pela porta 1 e em seguida abra a função
LLDP.
porta 1
porta 1
OLT1 OLT2
»» Passos de configuração:
»» Configuração OLT1:
OLT1(config)#lldp
494
»» Configuração OLT2:
OLT2(config)#lldp
»» Validação de resultados:
»» Exiba as configurações e a informação do vizinho LLDP:
OLT1(config)#show lldp interface ethernet 0/1
System LLDP: enable
LLDP hello-time: 30(s) LLDP hold-time: 4 LLDP TTL: 120(s)
Interface Ethernet 0/1
Port LLDP: rxtx Pkt Tx: 158 Pkt Rx: 160
Total neighbor count: 1
Neighbor (1):
TTL: 106(s)
Chassis ID: 00:0a:5a:20:4d:ad
Port ID: port e0/1
System Name: SW2
System Description: New GreenNet Switch
Port Description: NULL
Management Address: 192.168.4.52
Port Vlan ID: 4
Port SetSpeed: auto
Port ActualSpeed: FULL-1000
Port Link Aggregation: support ,not in aggregation
495
Termo de garantia
Fica expresso que esta garantia contratual é conferida mediante as seguintes condições:
Nome do cliente:
Assinatura do cliente:
Nº da nota fiscal:
Data da compra:
Modelo: Nº de série:
Revendedor:
496
4. Na eventualidade de o Senhor Consumidor solicitar atendimento domiciliar, de-
verá encaminhar-se ao Serviço Autorizado mais próximo para consulta da taxa de
visita técnica. Caso seja constatada a necessidade da retirada do produto, as des-
pesas decorrentes, como as de transporte e segurança de ida e volta do produto,
ficam sob a responsabilidade do Senhor Consumidor.
5. A garantia perderá totalmente sua validade na ocorrência de quaisquer das hipó-
teses a seguir: a) se o vício não for de fabricação, mas sim causado pelo Senhor
Consumidor ou por terceiros estranhos ao fabricante; b) se os danos ao produto
forem oriundos de acidentes, sinistros, agentes da natureza (raios, inundações,
desabamentos, etc.), umidade, tensão na rede elétrica (sobretensão provocada
por acidentes ou flutuações excessivas na rede), instalação/uso em desacordo
com o manual do usuário ou decorrentes do desgaste natural das partes, peças e
componentes; c) se o produto tiver sofrido influência de natureza química, eletro-
magnética, elétrica ou animal (insetos, etc.); d) se o número de série do produto
tiver sido adulterado ou rasurado; e) se o aparelho tiver sido violado.
6. Esta garantia não cobre perda de dados, portanto, recomenda-se, se for o caso do
produto, que o Consumidor faça uma cópia de segurança regularmente dos dados
que constam no produto.
7. A Intelbras não se responsabiliza pela instalação deste produto, e também por
eventuais tentativas de fraudes e/ou sabotagens em seus produtos. Mantenha as
atualizações do software e aplicativos utilizados em dia, se for o caso, assim como
as proteções de rede necessárias para proteção contra invasões (hackers). O equipa-
mento é garantido contra vícios dentro das suas condições normais de uso, sendo
importante que se tenha ciência de que, por ser um equipamento eletrônico, não
está livre de fraudes e burlas que possam interferir no seu correto funcionamento.
Sendo estas as condições deste Termo de Garantia complementar, a Intelbras S/A
se reserva o direito de alterar as características gerais, técnicas e estéticas de seus
produtos sem aviso prévio.
O processo de fabricação deste produto não é coberto pelos requisitos da ISO 14001.
Todas as imagens deste manual são ilustrativas.
497
Suporte a clientes: (48) 2106 0006
Fórum: forum.intelbras.com.br
Suporte via chat: intelbras.com.br/suporte-tecnico
Suporte via e-mail: suporte@intelbras.com.br
SAC: 0800 7042767
Onde comprar? Quem instala?: 0800 7245115
Produzido por: Intelbras S/A – Indústria de Telecomunicação Eletrônica Brasileira
Rodovia SC 281, km 4,5 – Sertão do Maruim – São José/SC – 88122-001 04.19
CNPJ 82.901.000/0014-41 – www.intelbras.com.br Origem: China